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关键 基础 设施 作为 国家 经 济 ,社会 运行 的 神经 中 枢 , 包 括 公 共通 信和 信息 服 
务 、 能 源 、 交 通 ,金融 关键 制造 .食品 和 农业 、 政 府 设施 和 服务 、 公 共 卫 生 等 重要 
行业 和 领域 的 信息 和 物理 设施 。 这 些 关键 基础 设施 设备 或 系统 一 旦 遭 到 物理 或 
网 络 攻击 ,将 会 严重 危害 国家 安全 和 国计民生 。 因 此 ,许多 国家 都 已 经 将 关键 基 
础 设施 安全 作为 国家 安全 战略 问题 。 

随 着 近年 来 工业 化 和 信息 化 的 不 断 融 合 , 越 来 越 多 的 基础 设施 系统 不 再 圭 
闭 ,逐渐 开放 接 人 到 公共 网 络 中 ,这 将 给 关键 基础 设施 系统 带 来 越发 严峻 的 网 络 
安全 威胁 。 近 年 来 发 生 的 诸如 Stuxnet, Duqu, Flame, Havex, BlackEnergy 4-5 
克 兰 大 规模 断 电 等 重大 安全 事件 证 明了 关键 基础 设施 容易 受到 网 络 攻击 的 严重 
危害 ,在 一 定 程度 上 促进 了 世界 各 国 对 关键 基础 设施 安全 防护 的 高 度 重视 。 

美国 为 了 应 对 日 益 严 峻 的 关键 基础 设施 网 络 攻击 安全 威胁 ,历届 政府 通过 
发 布 一 系列 政策 文件 或 部 署 关键 技术 研究 项 目 等 方式 ,推动 该 领域 的 理论 研究 
与 技术 研发 工作 。 作 者 在 研究 美国 关键 基础 设施 安全 防护 进展 中 ,深入 调研 了 
美国 国土 安全 部 能源 部 .国家 标准 与 技术 研究 院 、 国 家 科学 基金 会 和 国防 部 先 
进 研 究 项 目 局 等 部 门 的 相关 工作 ,从 国家 政策 研发 项 目 、 安 全 实践 等 方面 总 结 
归纳 了 这 些 部 门 近年 来 的 科研 工作 。 和 希望 以 此 为 我 国 在 该 领域 的 科学 研究 与 项 
目 部 署 提 供 一 些 参 考 意见 。 由 于 国家 体制 .文化 及 体系 结构 上 的 差异 ,我 们 需要 
辩证 地 来 分 析 美 国 在 关键 基础 设施 安全 方面 所 做 的 工作 ,有 借鉴 性 地 探索 适合 
我 国 国情 的 发 展 战略 和 具体 实施 方法 。 

本 书 由 中 国 科 学 院 信息 工程 研究 所 物 联网 信息 安全 技术 北京 市 重点 实验 室 
组 织 撰写 ,多 位 作者 合作 完成 。 其 中 , 孙 利 民 负 责 全 书 的 组 稿 ,并 主持 各 个 章节 
的 撰写 ,负责 全 书 的 审 校 。 第 1 章 由 孙 利 民 执 笔 完成 ,第 2.4.6 章 由 吕 世 超 执 笔 
完成 ,第 3 章 、 附 录 A 和 附录 B. 1 由 李 红 执 笔 完成 ,第 5 章 、 附 录 B. 2 和 附 
K B. 3 由 文 辉 执笔 完成 。 
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1.1 关键 基础 设施 含义 


关键 基础 设施 是 指 公 共通 信和 信息 服务 ,能源 .交通 .水 利 、 金 融化 学 .关键 
制造 .食品 和 农业 ,政府 设施 和 服务 .公共 卫生 、 国 防 军工 .电子 政务 等 重要 行业 
和 领域 的 重要 信息 和 物理 设施 。 作 为 经 济 、 社 会 运行 的 神经 中 枢 , 这 些 设施 一 旦 
遭受 来 自 物理 和 网 络 空间 的 破坏 、. 丧 失 功能 或 者 数据 泄露 ,就 可 能 严重 危害 国 计 
民生 、 公 共 利 益 和 国家 安全 。 


1.1.1 中 国政 府 高 度 重视 关键 信息 基础 设施 安全 


党 的 十 八 届 三 中 全 会 通过 了 《关于 全 面 深化 改革 若干 重大 问题 的 决定 》( 简 
称 4 决 定 》5 。《 决 定 》 明 确 指出 必 加 大 依法 管理 网 络 力度 ,加快 完善 互联 网 管理 
领导 体制 ,确保 国家 网 络 和 信息 安全 。 设 立国 家 安全 委员 会 ,完善 国家 安全 体制 
和 国家 安全 战略 ,确保 国家 安全 。” 为 了 贯彻 落实 十 八 届 三 中 全 会 精神 ,健全 公共 
安全 体系 ,领导 中 国 从 网 络 大 国 迈 向 网 络 强 国 , 中 央 网 络 安全 和 信息 化 领导 小 组 
T 2014 年 2 月 27 日 宣告 成 立 。 中 共 中 央 总 书记 、 国 家 主席 、 中 央 军 委 主 席 习 近 
平 担任 组 长 ,国务 院 总 理 李克强 和 中 央 书 记 处 书记 刘云山 担任 副 组 长 。 自 中 央 
网 络 安全 和 信息 化 领导 小 组 成 立 以 来 ,中 国 领导 人 高 度 重视 关键 信息 基础 设施 
网 络 安全 问题 ,在 小 组 全 体会 议 、 座 谈 会 等 重要 场合 发 表 了 一 系列 重要 讲话 ,分 
析 了 如 何 正确 处 理 网 络 安 全 和 发 展 的 关系 ,阐述 了 网 络 强国 战略 及 其 实施 举措 。 


l. 中 央 网 络 安全 和 信息 化 领导 小 组 第 一 次 会 议 加 


习近平 总 书记 在 2014 年 2 月 27 日 ,主持 召开 了 中 央 网 络 安 全 和 信息 化 领 
导 小 组 第 一 次 全 体会 议 ,并 发 表 了 重要 讲话 。 讲 话 指出 :没有 网 络 安全 就 没有 
国家 安全 ,没有 信息 化 就 没有 现代 化 。 建 设 网 络 强国 ,要 有 自己 的 技术 ,有 过 硬 
的 技术 ;要 有 丰富 全 面 的 信息 服务 ,繁荣 发 展 的 网 络 文化 ;要 有 良好 的 信息 基础 
设施 ,形成 实力 雄厚 的 信息 经 济 .” 习 总 书记 本 次 讲话 提 到 的 信息 基础 设施 ,主要 
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指 在 政治 、 经 济 .文化 ,社会 .军事 等 领域 用 于 信息 采集 处理、 传播 和 利用 的 信息 


2. 习近平 总 书记 4。19 讲话 器 


习 总 书记 在 2016 年 4 月 19 日 网 络 安全 和 信息 化 座谈 会 上 讲话 指出 ,“ 加 快 
构建 关键 信息 基础 设施 安全 保障 体系 。 人 金融 、 能 源 、 电 力 、 通 信 、 交 通 等 领域 的 关 
键 信息 基础 设施 是 经 济 社会 运行 的 神经 中 枢 , 是 网 络 安全 的 重 中 之 重 ,也 是 可 能 
遭 到 重点 攻击 的 目标 。 "物理 隔离 ?防线 可 被 跨 网 人 侵 ,电力 调配 指令 可 被 恶意 
算 改 ,金融 交易 信息 可 被 窃取 ,这 些 都 是 重大 风险 隐患 。 不 出 问题 则 已 ,一 出 就 
可 能 导致 交通 中 断 、 金 融 闪 乱 .电力 瘫痪 等 问题 ,具有 很 大 的 破坏 性 和 杀伤 力 。 
我 们 必须 深入 研究 ,采取 有 效 措施 ,切实 做 好 国家 关键 信息 基础 设施 安全 防护 。” 


3. 习近平 主持 召开 国家 安全 工作 座 读 会 中 


习 总 书记 在 2017 年 2 月 17 日 召开 的 国家 安全 座谈 会 上 强调 “要 准确 把 握 
国家 安全 形势 ,牢固 树立 和 认真 贯彻 总 体 国家 安全 观 , 以 人 民 安 全 为 宗旨 , 走 中 
国 特色 国家 安全 道路 ,努力 开创 国家 安全 工作 新 局 面 ,为 中 华 民 族 伟 大 复兴 中 国 
梦 提 供 坚实 安全 保障 .在 部 署 对 当前 和 今后 一 个 时 期 国家 安全 工作 时 ,明确 提 
出 ,“ 要 筑 牢 网 络 安全 防线 ,提高 网 络 安全 保障 水 平 ,强化 关键 信息 基础 设施 防 
护 , 加 大 核心 技术 研发 力度 和 市 场 化 引导 ,加 强 网 络 安全 预警 监测 ,确保 大 数据 
安全 ,实现 全 天 候 全 方位 感知 和 有 效 防护 ” 习 总 书记 将 关键 信息 基础 设施 安全 
问题 作为 国家 安全 问题 来 看 待 。 由 此 可 见 ,国家 领导 人 高 度 重视 关键 信息 基础 
设施 安全 。 


4. 2016 年 3 月 政府 工作 报告 呈 


李克强 总 理 2016 年 3 月 5 日 在 第 十 二 届 全 国人 民 代 表 大 会 第 四 次 会 议 上 
做 的 政府 工作 报告 中 多 次 提 到 了 基础 设施 建设 工作 。 在 “十 三 五 ”时 期 主要 目标 
任务 和 重大 举措 的 推进 新 型 城镇 化 和 农业 现代 化 ,促进 城乡 区 域 协调 发 展 方面 
指出 :加 强 重大 基础 设施 建设 ,高铁 营业 里 程 达 到 3 万 公里 、 覆 盖 80% 以 上 的 
大 城市 ,新 建 改 建 高 速 公 路 通车 里 程 约 3 万 公里 ,实现 城乡 宽带 网 络 全 覆盖 。” 在 
2016 年 重点 工作 中 的 改善 农村 公共 服务 方面 指出 :“ 加 大 农村 基础 设施 建设 力 
度 , 新 建 改 建 农村 公路 20 万 公里 ,具备 条 件 的 乡镇 和 建制 村 要 加 快 通 硬 化 路 、 通 
客车 。 抓 紧 新 一 轮 农 村 电网 改造 升级 ,两 年 内 实现 农村 稳定 可 靠 供电 服务 和 平 
原 地 区 机 井 通 电 全 和 覆盖。 实施 饮水 安全 巩固 提升 工程 。 推 动 电子 商务 进 农 村 。 


第 1 章 ”关键 基础 设施 安全 概述 


建设 美丽 宜 居 乡村 ”。 在 安全 生产 和 公共 安全 方面 指出 :“ 加 强 安 全 基础 设施 和 
防 灾 减灾 能 力 建 设 , 健 全 监测 预警 应 急 机 制 ,提高 气象 服务 水 平 ,做 好 地 震 、 测 
绘 .地 质 等 工作 。 完 善 和 落实 安全 生产 责任 ,管理 制度 和 考核 机 制 ,实行 党 政 同 
责 , 一 岗 双 责 、 失 职 追 责 , 严 格 监管 执法 ,坚决 遏制 重 特大 安全 事故 发 生 , 切 实 保 
障 人 民生 命 财 产 安全 。” 

分 析 政 府 工 作 报 告 中 与 基础 设施 相关 的 内 容 可 知 ,基础 设施 的 范围 比 信 息 
基础 设施 要 大 ,基础 设施 不 仅 包括 用 来 保障 金融 能源、 电力 、 交 通 等 领域 系统 正 
常 运作 的 电信 和 广播 电视 等 网 络 空间 的 系统 和 网 络 ,还 包括 为 人 民生 产生 活 提 
供 公共 服务 的 工程 设施 ,如 公路 、 铁 路. 电网, 水利 等 物理 空间 设施 。 即 基础 设施 
既 包 括 网 络 空间 的 信息 基础 设施 ,也 包括 物理 空间 的 工程 设施 。 


5.“ 一 带 一 路 "推进 能 源 基础 设施 互联 互通 器 


李克强 总 理 在 2016 ^E 11 H 17 日 主持 召开 的 国家 能 源 委 员 会 会 议 上 指出 ， 
“能 源 战 略 是 国家 发 展 战略 的 重要 支柱 ,保障 国家 能 源 安全 需要 统筹 国内 国际 两 
个 大 局 , 既 要 立足 国内 ,又 要 深化 国际 合作 ,形成 多 元 稳定 的 供给 格局 。 要 巩固 
与 传统 资源 国家 的 互利 合作 ,优化 能 源 贸 易 结 构 , 抓 住 “ 一 带 一 路 ?建设 重大 机 
38 ,推进 能 源 基 础 设施 互联 互通 ,加 大 国际 产能 合作 ,带动 有 竞争 优势 的 能 源 装 
备 出 口 。 积 极 参 与 全 球 能 源 治理 , 推 动 国际 能 源 秩序 和 治理 体系 朝 着 更 加 公正 
合理 的 方向 发 展 。” 

能 源 指 煤炭 ,石油 .天然气 、 生 物质 能 和 电力 、 热 力 以 及 其 他 直接 或 者 通过 加 
工 、 转 换 而 取得 有 用 能 的 各 种 资源 5] 。 作 为 基础 设施 的 一 个 重要 领域 ,能 源 是 国 
民 经 济 发 展 的 重要 物质 基础 。 中 国政 府 高 度 重视 能 源 基 础 设施 互联 互通 建设 
IAE. 


1.1.2 中 国政 府 相关 文件 
1. 国务 院 


国务 院 办 公 厅 于 2007 年 9 月 18 日 发 布 了 《关于 开展 重大 基础 设施 安全 隐 
患 排 查 工作 的 通知 兴国 办 发 C2007]58 号 ) 中 ,通知 要 求 ,重点 做 好 “公路 交通 设 
施 、 铁 路 交通 设施 、 水 运 交 通 设施 、 民 航 交通 设施 、 大 型 水 利 设施 、 大 型 煤矿 、 重 要 
电力 设施 、 石 油 天 然 气 设施 、 城 市 基础 设施 ” 九 个 对 象 的 安全 隐患 排查 工作 。 国 
务 院 办 公 厅 指出 的 上 述 九 类 基础 设施 都 属于 重大 、 关 键 基础 设施 范畴 ,都 是 指 那 
些 关 平 国计民生 的 核心 基础 设施 。 
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国务 院 办 公 厅 于 2012 年 6 月 28 日 发 布 了 文件 (关于 大 力 推进 信息 化 发 展 
和 切实 保障 信息 安全 的 若干 意见 》( 国 发 (2012]23 号 )""。 该 文件 在 健全 安全 防 
护 和 管理 ,保障 重点 领域 信息 安全 的 保障 工业 控制 系统 安全 方面 指出 :“ 加 强 核 
设施 .航空 航天 、 先 进 制造 、 石 油 石化 .油气 管 网 ,电力 系统 .交通 运输 ,水 利 枢纽 、 
城市 设施 等 重要 领域 工业 控制 系统 ,以 及 物 联 网 应 用 ,数字 城市 建设 中 的 安全 防 
护 和 管理 ,定期 开展 安全 检查 和 风险 评估 。 重 点 对 可 能 危及 生命 和 公共 财产 安 
全 的 工业 控制 系统 加 强 监管 。 对 重点 领域 使 用 的 关键 产品 开展 安全 测评 ,实行 
安全 风险 和 漏洞 通报 制度 ?工业 控制 系统 广泛 应 用 于 上 述 领域 的 基础 设施 中 ， 
实现 设施 和 系统 的 自动 化 控制 和 运行 操作 ,是 基础 设施 的 核心 组 成 部 分 。 这 些 
基础 设施 的 安全 防护 重点 就 是 保障 工业 控制 系统 的 网 络 和 物理 安全 。 

国务 院 于 2013 年 9 月 6 日 发 布 了 文件 (关于 加 强 城市 基础 设施 建设 的 意 
见 光 国 发 (2013]36 42009 。 文 件 指出 ,城市 基础 设施 是 城市 正常 运行 和 健康 发 
展 的 物质 基础 ,并 建议 ,“ 加 强 城 市 道路 交通 基础 设施 建设 ,加 大 城市 管 网 建设 和 
改造 力度 ,加 快 污水 和 垃圾 处 理 设施 建设 ,加 强生 态 园林 建设 ”城市 基础 设施 是 
国家 关键 基础 设施 的 缩影 和 典型 代表 ,城市 中 的 道路 .水 / 电 / 天 然 气 管 网 、 污 水 
和 垃圾 处 理 系统 等 组 成 了 城市 的 骨架 ,这 些 基础 设施 的 完善 程度 影响 着 城市 的 
承载 能 力 及 人 民 的 生活 质量 。 


2. 工业 和 信息 化 部 


工信部 于 2014 年 8 月 29 日 发 布 了 (关于 加 强 电 信和 互联 网 行业 网 络 安全 
工作 的 指导 意见 (工信部 保 C20142368 420 09 ,在 加 强 新 技术 新 业务 网 络 安全 管 
理 重点 工作 中 指出 :“ 加 强 对 云 计算 、 大 数据 、 物 联网 .移动 互 联网 .下 一 代 互 联网 
等 新 技术 新 业务 网 络 安全 问题 的 跟踪 研究 ,对 涉及 提供 公共 电信 和 互联 网 服务 
的 基础 设施 和 业务 系统 要 纳入 通信 和 网络 安全 防护 管理 体系 ,加 快 推进 相关 网 络 
安全 防护 标准 研制 ,完善 和 落实 相应 的 网 络 安 全 防护 措施 ,” 提 供 公 共 电 信和 互 
联网 服务 的 网 络 和 系统 都 属于 信息 基础 设施 的 范畴 。 

工信部 于 20114E 10 H 27 日 发 布 了 (关于 加 强 工业 控制 系统 信息 安全 管理 
的 通知 》( 工 信 部 协 C2011]451 号 )55 。 通 知 指出 :数据 采集 与 监控 (SCADA)、 
分 布 式 控制 系统 (DCS) 、 过 程控 制 系统 (PCS) 可 编程 逻辑 控制 器 (PLC) 等 工业 
控制 系统 广泛 运用 于 工业 能源、 交通 .水 利 以 及 市 政 等 领域 ,用 于 控制 生产 设备 
的 运行 。 一 旦 工业 控制 系统 信息 安全 出 现 漏 洞 ,将 对 工业 生产 运行 和 国家 经 济 
安全 造成 重大 隐患 。 加 强 工 业 控制 系统 信息 安全 管理 的 重点 领域 包括 核 设施 、 
钢铁 有 人 色 、 化 工 、 石 油 石化 电力、 天然气 、 先 进 制造 .水 利 枢 纽 、 环 境 保护 、 铁 路 、 
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城市 轨道 交通 、 民 航 城市 供水 供 气 供 热 以 及 其 他 与 国计民生 紧密 相关 的 领域 .” 
上 述 关键 基础 设施 都 是 指 事 关 国家 、 经 济 发 展 命脉 的 重要 工业 控制 设备 .网络 和 
系统 。 


3. 网 络 安全 法 


2016 年 11 月 7 日 ,第 十 二 届 全 国人 民 代 表 大 会 常务 委员 会 第 二 十 四 次 会 
议 通过 了 《中 华人 民 共 和 国 网 络 安全 法 》( 简 称 《 网 络 安全 法 》55 。 该 法 案 专门 
设立 了 一 节 对 关键 信息 基础 设施 的 运行 安全 做 出 了 具体 的 法 律 规定 ,对 关键 信 
息 基础 设施 运行 安全 不 仅 给 出 了 定义 ,规定 了 如 何 实施 安全 保护 ,而 且 还 从 国家 
相关 部 门 行业、 关键 基础 设施 /网 络 运营 者 等 不 同 层面 分 别 规定 了 国家 网 信 部 
门 行业 主管 单位 运营 单位 或 企业 等 各 自 的 义务 与 责任 。 

其 中 ,网 络 安全 法 ) 的 第 三 章 网 络 运 行 安全 的 第 二 节 关 键 信息 基础 设施 的 
运行 安全 的 第 三 十 一 条 规定 :“ 国 家 对 公共 通信 和 信息 服务 、 能 源 、 交 通 、 水 利 、 金 
融 、 公 共 服 务 .电子 政务 等 重要 行业 和 领域 ,以 及 其 他 一 旦 遭 到 破坏 .丧失 功能 或 
者 数据 泄露 ,可 能 严重 危害 国家 安全 .国计民生 、 公 共 利 益 的 关键 信息 基础 设施 ， 
在 网 络 安全 等 级 保护 制度 的 基础 上 ,实行 重点 保护 。 关 键 信息 基础 设施 的 具体 
范围 和 安全 保护 办 法 由 国务 院 制 定 。 "与 其 他 定义 相 比 《网 络 安全 法 》 对 关键 信 
息 基 础 设施 的 定义 又 新 增加 了 网 络 安全 等 级 保护 和 重点 保护 的 要 求 。 


4. 国家 互联 网 信息 办 公 室 


经 中 央 网 络 安全 和 信息 化 领导 小 组 批准 ,国家 互联 网 信息 办 公 室 于 2016 年 
12 月 27 日 发 布 了 《国家 网 络 空间 安全 战略 (简称 (战略) ,将 保护 关键 信息 
基础 设施 作为 一 项 重点 战略 任务 。《 战 略 ) 指 出 :“ 国 家 关键 信息 基础 设施 是 指 关 
系 国家 安全 、 国 计 民 生 ,一旦 数据 泄露 . 遭 到 破坏 或 者 丧失 功能 可 能 严重 危害 国 
家 安全 .公共 利益 的 信息 设施 ,包括 但 不 限于 提供 公共 通信 、 广 播 电 视 传 输 等 服 
务 的 基础 信息 网 络 能源、 金融. 交通、 教育 .科研 .水利 .工业 制造 ,医疗 卫生 、 社 
会 保障 .公用 事业 等 领域 和 国家 机 关 的 重要 信息 系统 ,重要 互联 网 应 用 系统 等 。 
采取 一 切 必要 措施 保护 关键 信息 基础 设施 及 其 重要 数据 不 受 攻击 破坏 。 坚 持 技 
术 和 管理 并 重 、 保 护 和 震慑 并 举 ,着眼 识别 .防护 .检测 .预警 .响应 .处置 等 环节 ， 
建立 实施 关键 信息 基础 设施 保护 制度 ,从 管理 技术、 人才、 资金 等 方面 加 大 投 
入 ,依法 综合 施 策 ,切实 加 强 关键 信息 基础 设施 安全 防护 《战略 ) 不 仅 给 出 了 关 
键 信息 基础 设施 较为 全 面 的 定义 ,还 重点 强调 了 信息 基础 设施 和 其 关键 数据 的 
同等 重要 性 。 
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经 中 央 网 络 安全 和 信息 化 领导 小 组 批准 ,2016 年 7 月 8 日 ,首次 全 国 范围 
的 关键 信息 基础 设施 网 络 安全 检查 工作 启动 "4 。 检 查 时 间 截 至 2016 年 12 月 
底 。 本 次 检查 给 出 了 关键 信息 基础 设施 的 如 下 定义 :关键 信息 基础 设施 指 的 是 
面向 公众 提供 网 络 信息 服务 或 支撑 能 源 .通信 金融、 交通 .公用 事业 等 重要 行业 
运行 的 信息 系统 或 工业 控制 系统 ,这 些 系统 一 旦 发 生 网 络 安 全 事故 ,可 能 影响 重 
要 行业 正常 运行 ,对 国家 政治 \ 经 济 、 科 技 、 社 会 、 文 化. 国防、 环境 及 人 民生 命 财 
产 造成 严重 损失 。” 本 次 安全 检查 给 出 的 关键 信息 基础 设施 定义 ,将 关键 信息 基 
础 设施 定义 为 提供 网 络 信 息 服务 或 支撑 重要 行业 运行 的 信息 系统 或 工业 控制 系 
统 。 该 定义 突出 强调 了 信息 系统 和 工业 控制 系统 在 关键 信息 基础 设施 中 的 同等 

国家 互联 网 信息 办 公 室 于 2017 年 7 月 11 日 发 布 了 《关键 信息 基础 设施 安 
全 保护 条 例 (征求 意见 稿 ))525 。 该 条 例 是 依据 (网 络 安全 法 》, 专 门 针 对 关键 信 
息 基 础 设施 安全 制定 的 条 例 。 在 该 条 例 的 第 三 章 第 十 八条 给 出 了 关键 信息 基础 
设施 保护 范围 :下 列 单位 运行 .管理 的 网 络 设施 和 信息 系统 ,一 旦 遭 到 破坏 E 
失 功能 或 者 数据 泄露 ,可 能 严重 危害 国家 安全 、 国 计 民生、 公共 利益 的 ,应 当 纳入 
关键 信息 基础 设施 保护 范围 :( 一 ) 政 府 机 关 和 能 源 .金融 ,交通 .水利 .卫生 医疗 、 
教育 .社保 .环境 保护 .公用 事业 等 行业 领域 的 单位 ;( 二 ) 电 信 网 .广播 电视 网 、 互 
联网 等 信息 网 络 ,以 及 提供 云 计算 、 大 数据 和 其 他 大 型 公共 信息 网 络 服务 的 单 
位 ;( 三 ) 国 防 科 工 、 大 型 装备 .化 工 、 食 品 药品 等 行业 领域 科研 生产 单位 ;( 四 ) 广 
播 电 台电 视 台 、 通 讯 社 等 新 闻 单位 ; (五) 其 他 重点 单位 ”此 外 ,该 条 例 也 在 关键 
信息 基础 设施 运营 者 安全 保护 ,产品 和 服务 安全 ,监测 预警 .应急 处 置 和 检测 评 
佑 等 方面 给 出 了 具体 要 求 及 法 律 责 任 规定 。 


1.1.3 美国 政府 关键 基础 设施 安全 布局 


随 着 关键 基础 设施 行业 中 越 来 越 多 的 系统 网 络 接 入 公共 网 络 ,基础 设施 系 
统 面临 着 越发 严峻 的 网 络 安全 问题 。 美 国 也 已 经 将 关键 基础 设施 安全 提升 为 国 
家 战略 问题 。 美 国 自 克林顿 政府 就 开始 重视 关键 基础 设施 安全 问题 。 克 林 顿 、 
小 布什 ,奥巴马 和 特 朗 普 政 府 在 国家 安全 战略 .机构 设置 .安全 保护 计划 及 项 目 、 
标准 规范 等 方面 持续 开展 并 推动 了 关键 基础 设施 安全 保护 工作 布局 ,通过 一 系 
列 政策 文件 从 法 律 .政府 层面 引导 .促进 关键 基础 设施 安全 建设 工作 。 关 于 这 些 
有 具体 政策 文件 的 介绍 请 参见 1.4 节 内 容 。 

1996 年 7 月 15 日 ,在 克林顿 政府 颁布 的 第 13010 号 行政 令 《关键 基础 设施 
防护 站 中 指出 ,关键 基础 设施 包括 电信 电力、 天 然 气 石油 存储 和 运输 、 银 行 和 


金融 .交通 .水 利 供应 .应 急 服务 (如 医疗 、 警 务 . 火 警 和 救援 ) 及 其 他 保障 政府 持 
续 运 作 8 类 系统 。 由 于 许多 关键 基础 设施 都 是 由 私营 企业 拥有 和 经 营 的 ,因此 ， 
13010 号 行政 令 还 宣布 成 立 总 统 关键 基础 设施 保护 委员 会 ,要 求 政府 部 门 与 相 
关 私营 企业 一 起 合作 来 研发 .部 署 安全 防护 技术 。 

1998 年 5 月 22 日 ,克林顿 总 统 颁布 了 第 63 号 总 统 决策 指令 (关键 基础 设 
施 防护 )25 。 该 指令 在 明确 关键 基础 设施 定义 和 范畴 的 基础 上 ,进一步 明确 了 
财政 部 .司法 部 、 国 防 部 .商业 部 .交通 部 能源 部 等 相关 部 门 的 责任 与 义务 。 

小 布什 总 统 上 任 后 不 久 便 发 生 了 *9. 117278 H8 E SE PE AE , Y. IER 
怖 袭击 活动 ,加 强 基 础 设施 安全 防护 措施 ,2001 年 10 月 16 日 ,小 布什 政府 颁布 
了 第 13231 号 行政 令 4 信 息 时 代 的 关键 基础 设施 防护 沪 "9 。 该 行政 令 指 出 ,信息 
时 代 的 商业 交易 ,政府 运作 和 国家 防御 都 依赖 的 关键 信息 基础 设施 涉及 电信 FI 
源 、 金 融 服 务 、 制造 业 、 水利. 交通 、 医 疗 保健 和 应 急 服务 等 行业 和 领域 。 第 
13231 号 行政 令 还 宣布 成 立 总 统 关键 基础 设施 保护 管理 委员 会 ,并 要 求 委员 会 
关于 关键 基础 设施 保护 工作 .安全 项 目 建设 等 方面 定期 提出 发 展 建议 和 政策 。 

为 了 进一步 组 织 开 展 具 体 安全 防护 项 目 ,2002 年 11 月 25 日 ,小 布什 总 统 
签署 了 《国土 安全 法 案 ) 中 ,宣布 成 立国 土 安全 部 ,专门 负责 国土 安全 事务 ,具体 
包括 防止 发 生 针 对 关键 基础 设施 的 忍 怖 袭击 事件 ,加 强 安全 防范 能 力 ,保卫 网 络 
空间 安全 ,增强 自然 灾害 应 对 能 力 等 。 国 土 安全 部 自 成 立 以 来 针对 关键 基础 设 
施 网 络 安全 ,设计 了 专门 的 机 构 , 开 展 了 一 系列 安全 实践 和 研发 项 目 , 如 设计 了 
工业 控制 系统 网 络 应 急 响 应 小 组 ,开展 了 “网 络 风暴 ”系列 演习 ,发 起 了 “国家 基 
础 设施 保护 计划 ”和 “下 一 代 网 络 基础 设施 ”项 目 等 。 

为 了 动员 和 组 织 全 国 上 下 共同 抵御 恐怖 袭击 活动 ,小 布什 政府 于 2002 年 7 
H 16 日 发 布 了 (国土 安全 国家 战略 ?第 一 版 2 。 随 后 ,在 2003 年 2 月 ,小 布什 
总 统 发 布 了 《关键 基础 设施 和 重要 资产 物理 保护 国家 战略 》2 ,将 农业 和 食品 、 
IK Al ZS He B .应急 服务 .国防 工业 基础 .电信 能源、 交通、 银行 和 人 金融、 化 学 工 
业 和 危险 材料 .邮政 和 航运 等 设施 作为 关键 基础 设施 ,将 国家 古迹 和 建筑 、 核 电 
站 、 大 坝 、 政 府 设施 、 商 业 设 施 作为 重要 资产 。2006 年 ,国土 安全 部 发 起 了 《国家 
基础 设施 保护 计划 并。 该 计划 的 目标 是 通过 加 强 对 国家 关键 基础 设施 和 重要 
资产 的 保护 ,来 建立 一 个 物理 上 信息 网 络 上 更 安全 以 及 故障 恢复 能 力 更 强 的 美 
国 , 以 此 来 阻止 .减缓 或 消除 由 恐怖 袭击 所 带 来 的 蓄意 破坏 影响 。 

奥巴马 总 统 上 任 后 ,继续 加 强 了 关键 基础 设施 安全 防护 力度 。2013 年 2 月 
12 日 ,奥巴马 政府 同时 颁布 了 第 13636 号 行政 令 《 提 高 关键 基础 设施 的 网 络 安 
全 法 和 第 21 号 总 统 决 策 指令 4 提高 关键 基础 设施 的 安全 性 和 恢复 力 》5 。 前 
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者 旨 在 指导 行政 部 门 设 计 一 个 技术 中 立 的 网 络 安全 框架 。 后 者 则 明确 定义 了 
16 个 关键 基础 设施 行业 ,包括 化 学 .商业 设施 .通信 ,关键 制造 ,大 坝 、 国 防 军工 、 
应 急 服务 .能源 、 金 融 服务 .食品 和 农业 ,政府 设施 .公共 卫生 、 信 息 技术 、 核 反应 
堆 材 料 和 废物 .交通 ,城市 供水 和 废水 处 理 系统 。 

在 第 13636 号 行政 令 和 第 21 号 总 统 决策 指令 的 指导 要 求 下 ,美国 国家 标准 
与 技术 研究 院 起 草 ,美国 白宫 于 2014 年 2 月 12 号 公布 了 《提高 关键 基础 设施 网 
络 安全 的 框架 规范 ) 简 称 (规范 》59 的 第 一 个 版 本 。 该 规范 是 自 美 国 启动 保护 
关键 基础 设施 信息 安全 工作 以 来 发 布 的 第 一 个 较 全 面 的 基础 性 指导 文件 。 为 了 
进一步 加 强 网 络 安全 法 律 、 法 规 保护 力度 ,奥巴马 总 统 于 2015 年 12 月 18 日 签 
署 了 《网 络 安全 信息 共享 法 案 (2015);%27 ,并 将 其 标注 为 62015 年 网 络 安 全 法 
案 》。 该 法 案 第 208 条 专门 对 "多 重 并 发 的 关键 基础 设施 网 络 事件 ?给 出 了 法 律 
规范 。 除 了 通过 立法 来 促进 改善 国家 网 络 安全 以 外 ,奥巴马 政府 还 在 2016 年 2 
月 9 日 推行 了 (网 络 安全 国家 行动 计划 )fa ,在 提升 国家 整体 网 络 安全 水 平方 
Vei ,该 行动 计划 明确 指出 ,要 增强 关键 基础 设施 的 安全 性 和 恢复 力 。 

特 朗 普 总 统 上 任 后 开始 全 面 加 强 网 络 安全 建设 。 特 朗 普 总 统 于 2017 年 5 
月 11 日 签署 了 网 络 安全 行政 令 ( 增 强 联邦 网 路 和 关键 基础 设施 的 网 络 安 
Be PD ,在 联邦 网 络 .关键 基础 设施 和 国家 三 个 方面 ,规定 了 增强 网 络 安全 的 措 
施 。 在 关键 基础 设施 网 络 安全 方面 ,该 项 行政 令 要 求 应 遵照 奥巴马 政府 颁布 的 
第 21 号 总 统 决 策 指令 所 规定 的 关键 基础 设施 行业 进行 安全 评估 ,并 于 180 日 内 
提交 其 网 络 安全 风险 评估 报告 ,今后 每 年 度 评估 一 次 并 更 新 报告 。 


小 结 : 中 国政 府 和 美国 政府 都 高 度 重 视 关 键 基 础 设施 在 网 络 空 间 所 面临 的 
安全 威胁 和 攻击 问题 。 二 者 分 别 通 过 领导 人 重要 讲话 、 政 府 文件 等 形式 在 不 同 
场合 强调 了 开展 关键 基础 设施 安全 防护 工作 的 必要 性 ,阐述 了 关键 基础 设施 的 
含义 和 范畴 ,成 立 了 专门 的 网 络 安全 机 构 , 发 布 了 安全 法 律 法 规 、 国 家 安全 战略 
及 安全 保护 计划 等 重要 文件 。 


12 典型 安全 事件 


在 现代 战争 时 期 ,敌对 双方 首要 摊 毁 目标 必然 是 指挥 机 构 ,其 次 便 是 国家 正 
常 运 行 所 依赖 的 电力 、 石 油 、 天 然 气 、 交 通 以 及 水 利 等 关键 基础 设施 ,从 而 实现 以 
点 破 面 ,使 整个 国家 陷入 瘫痪 的 目的 。 目 前 较为 突出 的 是 在 海湾 战争 和 科索沃 
战争 中 ,美军 通过 “斩首 行动 ”迅速 破坏 了 敌 方 的 高 级 指挥 机 构 和 众多 电力 、 能 
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源 、 通 信 、 机 场 等 关键 基础 设施 ,导致 伊 军 和 南 联 盟 很 快 地 失去 了 指挥 权 进而 陷 
入 一 片 混乱 。 

在 目前 总 体 和 平 的 情况 下 ,一 些 国家 政府 雇佣 的 高 度 组 织 化 和 专业 化 的 黑 
客 团体 ,以 及 一 些 以 敲诈 勒索 为 手段 来 营利 的 黑客 团伙 ,这 些 组 织 和 个 人 在 近 几 
年 给 各 国 的 关键 基础 设施 带 来 了 不 少 的 混乱 和 麻烦 ,也 引起 了 业内 业 外 的 广泛 
关注 。 工 业 控制 系统 是 关键 基础 设施 的 核心 组 成 部 分 ,因此 ,工控 系统 也 就 成 了 
安全 攻击 的 首要 对 象 。 目 前 发 生 在 工控 领域 的 安全 事件 得 到 了 世界 各 国 的 广泛 
关注 。 下 面 就 国内 外 发 生 在 能 源 、 水 利 \ 污 水 处 理 、 交 通 以 及 制造 业 等 领域 的 安 
全 事件 ,分别 叙述 其 起 因 、 经 过 及 影响 。 


1. 能 源 行业 


(1)“ 震 网 ”病毒 

“ 震 网 ?病毒 于 2010 年 6 月 席卷 伊朗 、 印 度 尼 西亚 和 印度 ,其 中 伊朗 关键 基 
础 设施 感染 最 为 严重 ,尤其 是 核电 站 的 浓缩 铀 设备 的 离心 机 遭 到 破坏 ,造成 伊朗 
核电 站 推迟 发 电 、 重 新 更 换 设备 、 核 泄漏 等 一 系列 重大 安全 后 果 。“ 震 网 ”病毒 可 
以 自我 复制 ,通过 网 络 或 USB 等 介质 不 断 扩散 。 仅 伊朗 国内 就 有 500 万 网 民 和 
多 个 行业 的 领军 企业 感染 了 “ 震 网 ”病毒 。 

首先 ,“ 震 网 ”病毒 的 人 侵 方 式 是 精心 设计 的 。 这 次 事件 的 主要 受害 者 
Natanz 工厂 ,负责 着 伊朗 的 核 项 目 , 拥 有 15 层 防火 墙 .3 个 数据 单 向 保护 设备 和 
入 侵 检测 系统 ,这 么 强大 的 保护 网 之 所 以 都 未 能 阻止 “ 震 网 ”病毒 的 渗透 攻击 ,是 
因为 “ 震 网 ”病毒 采取 了 极为 巧妙 的 攻击 策略 。“ 震 网 ”病毒 的 编写 人 员 在 2009 
年 创建 之 日 起 便 定向 攻击 了 和 Natanz 工厂 相关 联 的 几 家 电力 设施 、 工 业 自 动 化 
系统 及 铀 浓缩 离心 机 供应 商 , 设 计 者 通过 精心 设计 , 悄 无 声息 地 渗透 了 这 些 企业 
网 络 , 从 中 搜集 和 “Step 7” 软 件 相 关 的 信息 ,并 利用 在 其 中 一 家 工控 系统 供应 商 
Jy Natanz 工厂 系统 升级 改造 的 时 机 ,通过 移动 介质 将 “ 震 网 ”病毒 引入 了 
Natanz 工厂 系统 中 。 

其 次 ,“ 震 网 ”病毒 的 设计 也 极为 复杂 。2010 年 曝光 于 公众 视野 范围 内 的 只 
是 “ 震 网 ”简单 版 本 ,然而 ,“ 震 网 ”的 复杂 变种 版 本 才 是 那个 让 伊朗 政府 极为 不 安 
的 不 定时 炸弹 。2007 年 有 人 在 VirusTotal 上 提交 了 有 段 代码 ,这 在 后 来 被 证 实 为 
“ 震 网 ”的 第 一 个 变种 , 即 复杂 变种 版 本 。 大 家 所 熟悉 那个 简单 版 本 ,其 相 较 于 复 
杂 版 本 更 为 简单 ,也 缺乏 隐蔽 性 ,只 是 能 够 控制 离心 机 的 转速 使 其 周期 性 大 幅 改 
变 , 从 而 破坏 离心 机 。 但 是 , Natanz 工厂 为 了 弥补 离心 机 不 稳定 而 配置 的 级 联 
保护 系统 ,能 够 防止 离心 机 坏 掉 , 防 止 发 生生 产 流程 终止 情况 。 所 以 ,“ 震 网 ” 病 
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毒 简单 版 本 并 不 是 那个 影响 力 最 大 的 。 复杂 变 种 版 本 是 最 早 入 侵 并 潜伏 在 
Natanz 工厂 工业 控制 系统 中 的 ,其 主要 目的 并 不 是 大 肆 破 坏 , 而 是 通过 伪装 数 
字 签 名 来 表现 为 一 个 合法 软件 。 在 控制 室 .报警 系统 和 操作 员 看 来 ,系统 运行 状 
态 一 切 正常 。“ 震 网 ?病毒 复杂 变种 版 本 小 心 翼 辟 地 控制 着 隔离 阀 , 增 大 压力 , 慢 
慢 减 少 转子 的 寿命 ,但 不 马上 损坏 离心 机 ,从 而 增强 了 隐蔽 性 。 

然而 ,“ 震 网 ”病毒 也 不 是 完全 隐蔽 的 。 其 开始 是 针对 伊朗 核 设 施 设计 的 ,但 
是 在 感染 民用 主机 的 同时 ,也 将 自身 暴露 于 公众 视野 之 下 ,许多 安全 公司 都 针对 
“ 震 网 ?病毒 的 攻击 模式 和 路 径 加 固 了 安全 防护 措施 .“ 震 网 ?病毒 无 疑 是 网 络 空 
间 的 一 枚 核弹 ,其 造成 的 影响 和 破坏 不 局 限于 伊朗 , 它 刷新 了 人 们 对 21 世纪 网 
络 战争 的 认 知 ,一 个 国家 以 较 低 的 代价 便 可 以 在 网 络 空间 对 另 一 方 造 成 巨大 的 
破坏 。 

(2)“ 火 焰 ? 里 虫 

2012 年 ,美国 和 以 色 列 为 了 破坏 伊朗 的 核 计划 使 用 “火焰 (Flame) ”蠕虫 进 
行 了 大 量 的 恶意 攻击 。2012 年 5 月 , “火焰” 蠕虫 由 于 在 以 色 列 的 策划 下 对 伊朗 
的 石油 工业 发 起 了 一 系列 攻击 ,由 此 进入 了 公众 视野 。 虽 然 , 此 次 行动 中 ,以 色 
J SON TPR BSR AE ,但 “火焰 ?蠕虫 据 称 是 由 美国 和 以 色 列 共同 研究 设计 而 完成 
的 ,甚至 有 西方 某 官 员 称 ,策划 者 有 NSA CIA 以色列 军队 和 Stuxnet 的 设计 团 
队 等 ,在 如 此 强大 的 团队 共同 努力 下 光 火 焰 ? 蜂 虫 也 就 成 为 迄今 为 止 最 为 复杂 的 
恶意 软件 。 即 使 是 国家 级 的 安全 网 络 ,仍然 会 感染 "火焰" 蠕虫。 感染 后 果 包 括 : 
用 户 的 浏览 器 记录 、 键 盘 .账号 密码 .通话 记录 等 敏感 信息 都 会 被 回 传 到 C&C 
服务 器 ,摄像头 和 麦克 风 遭 受 非 授 权 访问 控制 ,地 理 位 置信 息 数 据 遭 受 泄 露 等 。 
下 面 从 * 火 焰 ?” 的 传播 路 径 、 复 杂 结 构 .隐蔽 性 三 个 特点 描述 这 一 蠕虫 病毒 。 

“火焰 ?主要 通过 物理 接触 和 远程 感染 两 种 方式 在 伊朗 的 关键 基础 设施 领域 
扩散 ,安全 研究 人 员 在 捕获 的 “火焰 ”样本 中 发 现 了 “ 震 网 ”病毒 所 使 用 的 USB 攻 
击 模块 。 一 些 人 会 将 感染 了 “火焰 ”蠕虫 的 USB 插入 到 关键 基础 设施 系统 中 的 
PC 机 中 。 男 一 种 传播 方式 则 是 通过 Windows Update, 将 冒 用 微软 数字 签名 的 
“火焰 ”蠕虫 从 伪造 的 服务 器 下 载 安装 到 受害 者 电脑 上 ,由 此 躲 过 杀毒 软件 的 
检测 。 

“火焰 ”里 虫 的 复杂 性 体现 在 :拥有 5 种 以 上 不 同 的 加 密 算法 ,3 种 以 上 压缩 
技术 ,至 少 5 种 文件 格式 。“ 火 焰 " 是 用 不 太 常 见 的 LUA 语言 (一 般 用 在 游戏 机 
上 ) 编 写 的 ,其 总 体 大 小 在 30MB 左右 。“ 火 焰 ”" 代 码 有 大 量 的 独立 模块 和 攻击 工 
具 包 ,其 中 主 模块 文件 大 小 在 6MB 之 上 ,其 他 模块 则 有 漏洞 攻击 代码 ,模块 配置 
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文件 .信息 盗 取 模块 等 。“ 火 焰 ? 还 会 将 窃取 的 系统 信息 以 高 度 结构 化 的 格式 存 
fii TE SQLite 等 数据 库 中 。 

“火焰 ”的 隐蔽 性 体现 在 :通过 伪造 终端 服务 产品 的 CA 证 书 来 伪装 自己 , 进 
而 不 被 杀毒 软件 轻易 发 现 。 “火焰” 的 行动 策略 异常 狐 独 , 即 在 感染 “火焰 ”的 计 
算 机 具有 反 病 毒 保 护 程 序 时 ,火焰 ?会 停止 可 能 引起 安全 应 用 程序 进行 主动 检 
测 行为 的 一 些 行 动 和 恶意 代码 的 执行 。 但 是 ,尽管 如 此 ,微软 也 及 时 发 布 了 “ 灭 
火 ” 补 丁 并 新 增 三 个 证 书 授权 来 缓解 Windows 用 户 遭 受 的 威胁 ,各 安全 软件 公 
司 也 分 别 推送 了 补丁 和 更 新 升级 服务 。 

(3)“Havex” 恶 意 软件 

2014 年 ,欧美 国家 约 有 1000 多 家 能 源 控 制 系统 和 机 械 设备 公司 被 新 型 恶 
意 软件 “Havex” 感 染 入 侵 。 “Havex” 主 要 被 用 来 感染 SCADA 和 工控 系统 中 使 
用 的 工业 控制 软件 。 据 媒体 报道 ,“Havex” 攻 击 性 极 强 ,有 人 能力 禁 用 水 电大 坝 、 
使 核电 站 过 载 以 及 一 键 式 关 闭 国 家 电网 。 但 实际 上 “Havex” 主 要 以 窃取 数据 
情报 为 目的 ,通过 OPC 层 层 入 侵 , 一 是 获取 能 源 工厂 的 过 程控 制 系统 的 拓扑 结 
构 ,进而 可 以 实现 对 控制 系统 底层 终端 的 控制 ;二 是 偷窃 炼油 、 制 药 以 及 机 械 设 
备 的 配方 或 制作 方案 等 。 
虽然 “Havex” 恶 意 软件 只 包括 一 个 通用 的 远程 木马 和 用 PHP 编写 的 服务 
器 程序 ,但 是 它 的 传播 方式 在 当时 极 具 创 新 性 ,除了 传统 的 利用 漏洞 渗透 工具 包 
和 垃圾 邮件 感染 外 ,还 采用 了 “水 坑 ” 式 攻击 方式 , 即 通 过 渗透 到 目标 软件 公司 的 
Web 站 点 ,在 合法 软件 中 加 入 恶意 代码 。 随 后 一 旦 用 户 下 载 并 安装 被 算 改 的 升 
级 软件 包 , 恶 意 软 件 就 会 自动 安装 并 释放 一 个 “mbcheck. dll” 文 件 ,这 个 恶意 代 
码 作 为 攻击 者 的 后 门 渗透 到 工业 控制 系统 网 络 中 ,C&C 服务 器 会 指示 被 感染 的 
计算 机 下 载 并 执行 其 他 组 件 。 在 此 基础 上 ,“Havex” 的 信息 搜集 组 件 会 扫描 本 
地 网 络 中 那些 会 对 OPC( 开 放 平 台 通信 标准 ) 请 求 做 出 响应 的 设备 ,收集 这 些 设 
备 的 操作 系统 信息 ,窃取 存储 在 Web 浏览 器 的 密码 ,然后 ,使 用 自 定义 协议 将 这 
些 信息 加 密 后 发 送 至 黑客 的 C&C 服务 器 。 


2. 水 利 行业 


2000 年 ,位 于 澳大利亚 昆士兰 州 的 马 卢 奇 污水 处 理 厂 发 生 一 起 系统 非法 入 
侵 并 导致 污水 未 经 处 理 便 排 人 河流 的 恶性 事件 。 这 起 事件 的 起 因 是 一 名 工程 师 
应 聘 澳大利亚 的 一 家 污水 处 理 厂 多 次 被 拒 后 产生 仇恨 ,于 是 远程 人 侵 该 厂 污水 
处 理 控制 系统 ,前 后 三 个 月 的 时 间 ,控制 了 150 个 污水 泵 站 ,最 后 导致 共计 1000 
立方 米 的 污水 排 人 河流 ,严重 影响 了 当地 的 生态 环境 。 
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2001 年 ,俄罗斯 黑客 入 侵 美 国 伊利 诺 伊 州 斯 普 林 菲 尔 德 市 的 公共 供水 网 络 
系统 ,通过 连续 开关 水 泵 阀门 ,导致 水 泵 破坏 ,继而 影响 到 数 千家 庭 的 供水 保障 ， 
此 次 事件 的 原因 归结 于 一 家 公司 的 SCADA 软件 ,黑客 通过 攻 入 这 家 公司 的 
SCADA 系统 ,然后 获取 到 供水 系统 的 用 户 名 和 密码 ,进而 侵入 了 供水 网 络 
系统 。 


3. 交通 行业 


2011 年 7 月 10 日 ,我 国 京 沪 高 铁 某 段 线路 出 现 接触 网 故障 。 经 过 检测 、 抢 
WE NEL ,最 终 发 现 本 次 事件 并 不 是 一 般 的 雷击 物理 破坏 所 致 ,而 很 有 可 能 遭遇 
到 了 恶意 软件 入 侵 。 提 取出 的 本 次 人 侵 电 网 控制 系统 的 “蠕虫 病毒 ,经 过 国家 
计算 机 网 络 与 信息 安全 管理 中 心 检测 发 现 , 此 病毒 与 2010 年 的 “ 震 网 ?类 似 , 其 
功能 主要 是 记录 正常 电网 电压 数据 ,而 后 改变 电压 , 却 将 正常 数据 发 至 监控 设备 
处 ,使 得 报警 和 监控 全 部 失效 。 

2012 年 11 月 ,深圳 地 铁 2 号 线 、5 号 线 多 趟 列车 多 次 发 生 故 障 ,紧急 停 运 。 
后 现场 验证 表明 ,由 于 地 铁 运 营 采 用 的 基于 无 线 通 信 的 列车 自动 控制 系统 
(Communication-Based Train Control, CBTC) 所 使 用 的 信号 是 公用 2. 4GHz 频 
段 ,车 上 乘客 的 移动 便携 式 Wi-Fi 路 由 器 可 能 会 与 CBTC 地 铁 信 号 发 生 相 互 干 
扰 。 这 无 疑 暴 露 了 地 铁 系 统 的 一 大 安全 隐患 。 

2015 年 6 月 21 日 ,波兰 航空 公司 的 地 面 操作 系统 遭受 黑客 入侵, 导致 系统 
瘫痪 ,无 法 执行 新 的 飞行 任务 ,致使 预定 航班 无 法 出 港 ,至少 10 个 班次 的 航班 被 
取消 ,1400 多 名 乘客 滞留 肖邦 机 场 。 


4. 制造 行业 


2005 年 ,美国 有 13 家 汽车 工厂 由 于 感染 “Zotob” 蠕 虫 而 被 迫 关闭 ,50 000 
条 生产 线 工 人 被 迫 停止 工作 ,损失 超过 140 万 美元 。“Zotob” 通 过 利用 微软 发 布 
的 MSo5-39 即 插 即 用 中 的 安全 漏洞 ,致使 系统 频繁 重启 ,并 预 留 下 后 门 ,阻止 安 
装 在 系统 中 的 反 病 毒 软件 升级 。 此 外 ,该 蠕虫 还 会 通过 445 端口 进行 传播 。 

2017 年 6 月 ,网 络 安全 公司 Trend Micro 通过 对 ABB, — 25 , 川崎 等 公司 的 
机 器 人 进行 安全 测试 发 现 ,这 些 公 司 生产 的 工厂 机 器 人 的 网 络 安 全 机 制 非常 薄 
弱 , 弱 口令 问题 十 分 常见 。 此 外 ,这 些 工厂 机 器 人 系统 大 多 仍 使 用 过 时 的 系统 ， 
而 且 工厂 机 器 人 的 IP 地 址 甚至 是 完全 公开 的 。 技 术 人 员 一 般 都 是 通过 远程 连 
接 、 电 脑 或 手机 发 送 指令 等 方式 来 控制 工厂 机 器 人 。 


5. 近 两 年 重大 安全 事件 


(1) 乌克兰 停电 事件 

2015 年 12 月 23 日 ,乌克兰 电网 系统 被 黑客 人 侵 , 导 致 Lvano-Frankivsk 地 
区 8 万 人 遭遇 长 达 6 个 小 时 的 停电 。 此 次 事件 经 乌克兰 电视 台 、 英 国 路 透 社 及 
美国 各 大 媒体 相继 报道 并 认定 此 次 事件 由 俄罗斯 黑客 所 为 。 后 经 调查 发 现 , 确 
认 停 电 事故 是 一 起 网 络 攻 击 事件 。 攻 击 者 使 用 附带 恶意 代码 的 邮件 渗入 电网 工 
作 站 系统 ,并 植 和 人 “Black Energy” 恶 意 软 件 , 由 此 获得 对 发 电 系统 的 远程 接 入 和 
控制 能 力 。 

“Black Energy” 最 早 于 2007 年 就 已 经 在 俄罗斯 地 下 网 络 中 流通 ,起 初 ,该 
恶意 软件 用 于 在 DDoS(Distributed Denial of Service, 分 布 式 拒绝 服务 ) 攻 击 中 
创建 僵尸 网 络 ,发 送 垃圾 邮件 , 盗 取 银 行 凭 证 等 。 在 后 继 的 几 个 版 本 中 “Black 
Energy” 新 增 了 两 个 更 加 强大 的 功能 , 即 利用 rootkit 技术 在 目标 机 上 隐身 ,利用 
killdisk 组 件 来 破坏 电脑 上 的 数据 ,并 以 随机 数据 覆盖 源 文件 ,使 电脑 无 法 重启 。 
而 在 乌克兰 停电 事件 之 前 一 个 月 的 乌克兰 大 选中 ,多 家 新 闻 媒 体 被 黑 且 被 永久 
删除 大 量 视频 材料 和 文档 资料 ,也 是 “Black Energy" SEIS 

(2) 美国 遭遇 大 规模 的 DDoS 攻击 

2016 年 10 月 21 日 ,美国 最 主要 的 DNS 服务 商 Dyn 宣布 自己 遭受 了 一 次 
大 规模 的 DDoS 攻击 ,导致 美国 东海 岸 的 Twitter.CNN 亚马逊、 Yelp 等 数 百 家 
公司 均 无 法 访问 ,媒体 将 此 次 事件 形容 为 “史上 最 严重 的 DDoS 攻击 ”。Dyn 通 
过 追查 攻击 来 源 ,发 现 攻 击 来 自 1000 万 个 IP 的 物 联网 僵尸 网 络 ,其 中 部 分 来 源 
于 Mirai 僵尸 网 络 。 

此 次 大 规模 DDoS 攻击 ,让 世人 见识 到 物 联网 的 僵尸 网 络 核 弹 般 的 破坏 能 
量 。 网 站 应 当做 好 相应 的 应 急 预 案 , 云 服务 提供 商 应 具备 抵抗 DDoS 攻击 的 机 
制 , 物 联网 制造 商 应 当 保障 对 其 产品 的 安全 ,而 不 是 只 关注 其 可 用 性 ,用 户 也 要 
注意 使 用 操作 规范 。 


13 攻击 动机 与 方式 


目前 ,关键 基础 设施 的 典型 体系 架构 主要 包括 现场 设备 层 、 现 场 控制 层 、 系 
统 运 行 管理 层 和 企业 管理 层 。 现 场 设备 层 包括 被 控 物 理 设 备 .传感器 和 执行 器 。 
现场 控制 层 包括 可 编程 逻辑 控制 器 PLC、 分 布 式 控制 系统 DCS 远程 终端 单元 
RTU 等 工业 控制 器 和 数据 采集 与 监控 SCADA 历史 数据 服务 器 .OPC 服务 器 、 
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工程 师 站 和 操作 员 站 等 系统 运行 状态 监测 系统 和 设备 。 生 产 系 统 运 行 管 理 层 包 
括 制 造 执 行 系统 MES 产品 数据 管理 PDM、 生产 信息 管理 系统 PIMS 和 产品 生 
命 周期 管理 PLM 等 系统 。 企 业 管 理 层 包括 企 业 资 源 管理 ERP、 企 业 管 理 系统 、 
打印 服务 器 .电子 邮件 系统 .电子 商务 服务 器 .门户 及 OA 系统 等 企业 管理 系统 
和 软件 。 不 同 领 域 的 基础 设施 可 只 包括 其 中 的 部 分 设备 和 系统 。 

关键 基础 设施 中 的 系统 之 前 大 多 处 于 专用 网 络 中 ,或 者 控制 层 网 络 和 企业 
网 络 处 于 物理 隔离 状态 。 但 是 ,为 了 促进 工业 化 和 信息 化 融合 发 展 ,提高 系统 运 
行 效 率 , 关 键 基 础 设施 中 的 现场 设备 和 系统 逐渐 接 入 企业 网 或 其 他 公共 网 络 , 现 
场 控制 设备 或 组 件 也 逐渐 朝 着 网 络 化 和 智能 化 方向 发 展演 进 。 由 于 关键 基础 设 
施 中 的 设备 和 系统 在 设计 之 初 往 往 缺 乏 高 效 的 信息 安全 防护 或 修复 措施 ,这 些 
设备 和 系统 一 旦 接 入 企业 网 或 其 他 公共 网 络 ,就 势必 会 面临 严重 的 信息 安全 威 
胁 。 近 年 来 国际 或 美国 发 生 的 一 系列 关于 关键 基础 设施 的 安全 事件 也 有 力 地 证 
明了 这 一 点 。 工 业 控 制 系统 是 关键 基础 设施 的 核心 组 成 部 分 ,SCADA DCS, 
PCS,PLC 等 现场 控制 层 系 统 已 经 成 为 网 络 攻击 的 首要 目标 。 


1. 攻击 动机 


攻击 者 对 这 些 关键 基础 设施 (尤其 是 工业 控制 系统 ) 发 起 网 络 攻击 的 动机 主 
要 包括 政治 .商业 .恐怖 活动 三 类 因素 。 政 治 动机 是 指 当 国 与 国之 间 发 生 网 络 对 
抗 时 ,由 敌对 国家 支持 并 发 起 的 针对 男 一 国家 信息 基础 设施 的 攻击 。 敌 对 国家 
企图 通过 对 关键 信息 基础 设施 的 破坏 来 扰乱 对 方 国家 和 社会 的 正常 运转 ,引发 
公民 慌 慌 和 社会 动乱 。 商 业 动机 是 指 商业 组 织 受 商业 利益 驱使 , 窍 取 基础 设施 
系统 和 设备 的 商业 机 密 数据 ,进而 获取 自己 的 商业 价值 。 泡 怖 主义 者 通过 对 国 
家 基础 设施 的 有 组 织 、 有 预谋 的 物理 或 网 络 攻 击 ,实现 其 破坏 社会 稳定 团结 和 经 
济 建设 的 目的 。 


2. 工业 控制 系统 存在 的 信息 安全 威胁 


理解 关键 基础 设施 中 的 工业 系统 和 网 络 面临 的 安全 威胁 、 脆 弱 性 问题 及 相 
关 的 攻击 向 量 ,对 于 建立 有 效 的 安全 应 对 策略 来 说 是 至 关 重 要 的 。 总 的 来 说 , 工 
业 控 制 系统 面临 着 外 部 网 络 、 内 部 网 络 、 移 动 介质 和 人 员 误 操作 四 方面 安全 威胁 。 

(1) 外 部 网 络 安 全 威胁 

当 控 制 层 或 系统 运行 管理 层 网 络 由 封闭 的 专 网 专用 业务 网 络 接 入 开放 的 互 
联网 后 ,在 实现 互联 互通 的 同时 ,也 可 能 会 将 互联 网 中 的 病毒 .蠕虫 等 安全 威胁 
从 外 部 网 络 引 入 控制 系统 网 络 。 此 外 ,攻击 者 还 可 以 从 外 部 网 络 通过 黑客 技术 


第 1 章 关键 基础 设施 安全 概述 


或 钓鱼 渗透 到 企业 管理 网 络 ,控制 层 或 系统 运行 管理 层 网 络 。 此 外 ,控制 系统 中 
的 一 些 无 线 通 信 环 节 可 能 会 被 攻击 者 作为 发 起 攻击 的 跳板 。 这 些 无 线 通信 的 交 
互 协议 在 设计 之 初 往往 只 关注 了 时 效 性 ,没有 考虑 信息 安全 防护 ,因此 攻击 者 很 
容易 攻破 这 些 无 线 通 信 , 并 以 此 作为 发 起 进一步 深入 攻击 的 切入 点 。 因 此 ,由 于 
控制 层 或 系统 运行 管理 层 的 设备 和 系统 在 设计 之 初 往往 缺乏 高 效 的 信息 安全 防 
护 或 修复 措施 ,这 些 设备 和 系统 面临 着 严峻 的 外 部 网 络 安全 威胁 。 

(2) 内 部 网 络 安全 威胁 

在 现场 设备 层 、 现 场 控制 层 或 系统 运行 管理 层 的 设备 或 系统 中 ,可 能 会 被 厂 
家 或 运 维 人 员 有 意 植 人 一 些 用 来 监测 这 些 设 备 和 系统 运行 状态 .收集 数据 库 数 
据 的 后 门 程序 或 通信 通道 。 这 些 后 门 程序 或 通信 通道 也 有 可 能 会 被 攻击 者 当 作 
从 内 部 网 络 实施 主动 攻击 的 和 人口。 这 也 就 引入 了 内 部 网 络 安全 威胁 。 

(3) 移动 介质 安全 威胁 

工业 生产 环境 中 的 软件 升级 和 数据 导出 与 备份 工作 往往 都 会 用 到 移动 介 
质 。 但 是 对 于 移动 介质 的 安全 管理 普遍 缺乏 有 效 的 监督 与 控制 机 制 , 无 法 保证 
工业 生产 环境 下 的 移动 介质 专 盘 专用 。 例 如 运 维 或 内 部 员工 将 插入 过 连接 互联 
网 设备 的 优盘 直接 接 入 控制 层 或 系统 运行 管理 层 的 设备 ,进而 导致 设备 感染 病 
毒 或 木马 程序 。 虽 然 控 制 层 或 系统 运行 管理 层 的 设备 中 也 有 专门 的 杀毒 软件 ， 
但 是 这 些 杀 毒 软 件 却 难以 应 对 各 种 病毒 或 木马 新 型 变种 ,因此 ,工业 生产 过 程 中 
也 面临 着 严峻 的 移动 介质 安全 威胁 。 

(4) 人 员 误 操作 安全 威胁 

内 部 和 外 部 人 员 由 于 缺乏 专门 适用 于 控制 系统 的 网 络 安全 技术 ,在 远程 或 
现场 运 维 过 程 中 ,可 能 会 发 生 不 恰当 的 网 络 安全 操作 ,从 而 导致 设备 或 系统 发 生 
物理 或 网 络 故障 。 这 也 是 一 个 不 容 忽视 的 安全 隐患 问题 。 


3. 攻击 方式 


对 应 于 上 述 工业 控制 系统 中 存在 的 信息 安全 威胁 ,攻击 者 的 攻击 途径 包括 
从 外 部 网 络 、 内 部 网 络 和 移动 介质 入 手 等 方式 。 此 外 ,攻击 者 还 可 能 渗透 系统 运 
行 环境 设备 (如 视频 监控 网 络 摄像 头 ) ,通过 利用 这 些 设备 的 漏洞 来 将 其 变 成 为 
己 所 用 ,进而 发 起 对 工控 网 络 的 攻击 。 

攻击 者 的 攻击 方式 一 般 包 括 侦查 、 扫 描 、 枚 举 、 渗 透 或 扰乱 控制 等 。 首 先 ， 
攻击 者 通过 网 络 扫描 和 探测 ,确定 工控 资产 类 型 转换 时 间 安 排 表 、 系 统 额 外 的 
接 入 点 ,以 此 来 侦查 找到 系统 入 侵 的 入 口 ;其 次 ,攻击 者 通过 对 常用 端口 和 服务 
的 进一步 搜索 识别 出 常见 工控 设备 ;然后 ,攻击 者 再 通过 枚 举 方式 在 工控 系统 中 
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的 人 机 接口 (Human Machine Interface. HMI) .历史 数据 库 等 设备 中 建立 据点 ; 
最 后 ,攻击 者 通过 渗透 (如 由 目标 HMI 渗透 进入 目标 可 编程 逻辑 控制 器 
Mie MADE Logic Controller. PLC)) .控制 (如 在 系统 上 通过 成 功 安装 和 执 

行 恶 意 代 码 来 长 期 控制 系统 ) 和 扰乱 (如 通过 防火 墙 上 开发 端口 的 恶意 扫描 引起 
的 泛 洪 攻击 或 欺骗 攻击 合法 通信 ,注入 异常 流量 ,造成 DoS 攻击 ) 等 方式 来 达到 
破坏 系统 或 设备 的 目的 。 


1.4 美国 政府 安全 政策 


美国 自 到 林 顿 政府 时 期 ,就 已 经 开始 关注 关键 基础 设施 安全 问题 ,并 发 布 了 
首 个 关于 关键 基础 设施 防护 的 行政 令 。 随 后 ,小 布什 政府 颁布 了 具体 保护 计划 
和 国土 安全 法 ,并 建立 了 国土 安全 部 来 专门 负责 国土 安全 事务 。 奥 巴 马 上 台 后 ， 
继续 加 强 了 保护 关键 基础 设施 的 力度 。 特 朗 普 政 府 也 通过 签署 网 络 安全 行政 令 
的 形式 ,在 联邦 网 络 .关键 基础 设施 和 国家 三 个 方面 ,规定 了 增强 网 络 安全 的 措 
施 。 表 1-1 总 结 了 美国 近 几 届 政 府 在 关键 基础 设施 方面 的 典型 政策 和 文件 。 


表 1-1 美国 近 几 届 政 府 典型 政策 .战略 计划 一 览 表 


时 间 政府 名 称 主要 信息 
1996.7.15 | 克林顿 政府 Dl ee eire ME 
1998.5.22 | 克林顿 政府 patent pesi 键 基础 设施 相关 
2001. 10. 16 小 布什 政府 PARRA d zo 

会 定期 提出 发 展 政策 和 建议 


成 立国 土 安全 部 ,负责 关键 
基础 设施 安全 工作 


3 qi zt e dr m. di gs E 


2002. 11. 25 小 布什 政府 《国土 安全 法 》 


2002.7. 16 小 布什 政府 《国土 安全 国家 战略 》 土 安全 防御 能 力 , 保 护 关 键 
基础 设施 和 重要 资产 
明确 了 政府 和 私营 机 构 在 
《关键 基础 设施 和 重要 资 
2003.2 小 布什 政府 产物 理 保护 国家 战略 》 保护 关键 基础 设施 方面 的 


不 同 职责 
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DE 
时 间 政府 名 称 主要 信息 
为 政府 和 私营 机 构 提供 关 
2006. 6 小 布什 政府 ”| 《国家 基础 设施 保护 计划 》 | 键 基础 设施 保障 的 实施 
框架 
第 13636 号 行政 令 ( 提 高 | 明确 要 求 国土 安全 部 采取 
2013.2. 12 | 奥巴马 政府 | 关键 基础 设施 的 网 络 安 | 措施 推进 政 企 合作 ,建立 网 
全 》 络 安全 信息 共享 机 制 
第 21 号 总 统 政策 指令 ( 提 | 确定 了 通信 .金融 服务 、 信 
2013. 2. 12 奥巴马 政府 高 关键 基础 设施 的 安全 性 | 息 技术 等 16 类 关键 基础 设 
和 恢复 力 》 施行 业 
美国 政府 首次 提出 的 国家 
《提高 关键 基础 设施 网 络 | 级 信息 安全 指导 规范 , 自 
2014. 2. 12 ir B 
dic 奥巴马 政府 | 全 的 框架 规范 》 2013 年 以 来 的 第 一 个 较 全 
面 的 基础 性 指导 文件 
美国 在 网 络 安全 信息 共享 
2015.12.18 | 奥巴马 政府 ”| (2015 年 网 络 安全 法 案 》 | 方面 的 一 部 较为 完备 的 
法 律 
推动 国家 网 络 现代 化 、 安 全 
2016.2.9 | 奥巴马 政府 行动 
016.2.9 奥巴马 政府 《网 络 安全 国家 行动 计划 》 化 工作 ,提出 了 一 系列 举措 
网 络 安 全 行政 令 (增强 联 | 在 联邦 网 络 .关键 基础 设施 
2017.5 特 朗 普 政 府 | 邦 网 路 和 关键 基础 设施 的 | 和 国家 三 个 方面 ,规定 了 增 


l. 克林顿 政府 时 期 政策 


网 络 安全 》 


强 网 络 安全 的 措施 


1996 年 7 月 15 日 ,克林顿 颁布 了 第 13010 号 行政 令 《 关 键 基础 设施 防 
护 沪 7 。 该 行政 令 宣布 成 立 总 统 关键 基础 设施 保护 委员 会 。 委 员 会 包括 一 名 主 
席 和 数 名 委员 。 主 席 是 由 总 统 任命 的 联邦 政府 以 外 的 一 名 全 职 人 员 。 委 员 由 财 
政 部 .司法 部 、 国 防 部 .商业 部 交通 部 能源 部 .中 央 情 报 局 .联邦 应 急 管理 局 HER 
邦 调 查 局 和 国家 安全 局 等 部 门 领导 各 自 推荐 的 1 一 2 名 员工 组 成 。 委 员 会 还 设 
立 了 指导 委员 会 .主管 委员 会 和 咨询 委员 会 。 指 导 委 员 会 定期 审阅 委员 会 工作 


进展 报告 。 


经 审阅 后 的 报告 ,指导 委员 会 批准 提交 给 主管 
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是 由 关键 基础 设施 私营 部 门 的 专家 组 成 ,负责 向 委员 会 提供 咨询 和 建议 服务 。 
该 行政 令 限 定 了 关键 基础 设施 范畴 包括 电信 、 电 力 、 天 然 气 石油 存储 和 运输 、 银 
行 和 人 金融、 交通 、 水 利 供应 、 应 急 服务 (如 医疗 、 警 务 、 火 警 和 救援 ) 及 其 他 保障 政 
府 持续 运作 的 8 类 系统 。 

1998 年 5 月 22 日 ,克林顿 颁布 了 第 63 号 总 统 决策 指令 (关键 基础 设施 防 
m .该 指令 在 明确 关键 基础 设施 范畴 的 基础 上 , 进 一 步 明 确 了 财政 部 .司法 
部 、 国 防 部 .商业 部 .交通 部 .能 源 部 .中 央 情 报 局 、 联 邦 应 急 管 理 局 .联邦 调查 局 
和 国家 安全 局 等 相关 责任 部 门 的 任务 分 工 。 此 外 ,该 指令 还 制定 了 一 个 国家 目 
标 , 即 在 2003 年 之 前 ,联邦 政府 及 相关 责任 部 门 、 州 和 地 方 政府 、 私 营 部 门 应 该 
各 司 其 职 ,美国 应 该 拥有 保护 国家 基础 设施 的 能 力 。 


2. 小 布什 政府 时 期 政策 


2001 年 10 月 16 日 ,小 布什 政府 颁布 了 第 13231 号 行政 令 《 信 息 时 代 的 关 
键 基 础 设施 防护 站 ,宣布 成 立 总 统 关键 基础 设施 保护 管理 委员 会 ,并 要 求 委员 
会 定期 针对 关键 基础 设施 保护 工作 提出 发 展 政策 和 建议 。 委 员 会 与 国土 安全 部 
一 起 ,为 美国 行政 管理 和 预算 局 提供 关键 基础 设施 安全 项 目 预算 建议 。 此 外 , 委 
员 会 还 会 定期 督导 美国 国家 科学 基金 会 .能 源 部 .交通 部 、 环 境 保护 局 .商业 部 、 
国防 部 等 单位 开展 关键 基础 设施 相关 项 目 。 

2002 年 11 月 25 日 ,小 布什 总 统 在 白宫 签署 了 《国土 安全 法 %2 ,宣布 将 原 
来 隶属 于 联邦 调查 局 、 国 防 部 .商业 部 .能 源 部 等 机 构 的 相关 单位 进行 整合 和 重 
组 ,重新 组 建 了 一 个 主要 负责 国土 安全 事务 的 联邦 行政 部 门 , 即 国土 安全 部 。 国 
土 安全 部 的 主要 职责 包括 ,防止 发 生 针 对 关键 基础 设施 的 恐怖 袭击 事件 ,加 强 其 
安全 防范 能 力 , 管 理 和 保护 边境 安全 ,落实 和 监管 移民 法 规 , 保 卫 网 络 空间 安全 ， 
增强 自然 灾害 应 对 能 力 。 

2002 年 7 月 16 日 ,小 布什 政府 发 布 了 《国土 安全 国家 战略 ) 第 一 版 中。 该 
战略 的 目的 是 动员 和 组 织 联邦 政府 、 州 和 地 方 政府 、 私 营 部 门 和 美国 公民 一 起 过 
制 鸭 怖 袭击 活动 ,提高 美国 国土 安全 防御 能 力 ,保护 关键 基础 设施 和 重要 资产 并 
提高 其 应 急 响应 和 恢复 能 力 。 该 战略 归纳 了 6 个 关键 任务 :建立 铠 怖 主义 活动 
信息 情报 搜集 和 预警 系统 ,关注 边境 和 交通 安全 ,开展 国内 反 汐 行动 ,保护 关键 
基础 设施 和 重要 资产 ,预防 化 学 、 生 物 和 核 等 武器 威胁 ,应 对 和 响应 突 发 事件 。 
随后 ,2003 年 2 月 ,小 布什 总 统 针对 保护 关键 基础 设施 和 重要 资产 任务 ,发 布 了 
《关键 基础 设施 和 重要 资产 物理 保护 国家 战略 "站, 该 战略 将 农业 和 食品 、 水 利 、 
公共 健康 .应急 服务 .国防 工业 基础 .电信 人 能源、 交通 、 银 行 和 金融 .化 学 工业 和 
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危险 材料 、 邮 政和 航运 等 设施 作为 关键 基础 设施 ,将 国家 古迹 和 建筑 核电站、 大 
坝 、 政 府 设施 、 商 业 设 施 作为 重要 资产 。 该 战略 针对 保护 关键 基础 设施 和 重要 资 
产 ,强调 了 面临 的 挑战 问题 ,并 给 出 了 解决 这 些 问题 的 技术 路 线 。 

2006 年 ,国土 安全 部 发 起 了 《国家 基础 设施 保护 计划 六 3 。 该 计划 的 目标 是 
通过 加 强 对 国家 关键 基础 设施 和 重要 资产 的 保护 ,建立 一 个 物理 上 、 信 息 网 络 上 
更 安全 以 及 故障 恢复 能 力 更 强 的 美国 ,以 此 来 阻止 .减缓 或 消除 由 恺 怖 袭击 所 带 
来 的 蓄意 破坏 影响 。 加 强国 家 在 袭击 、 自 然 灾 害 或 突 发 等 事件 中 的 预防 、 及 时 响 
应 和 快速 恢复 的 能 力 。 为 了 实现 这 些 目 标 , 该 计划 要 求实 现 以 下 4 个 具体 目标 : 
共享 您 怖 袭击 和 其 他 灾难 危害 事件 的 信息 ,实现 一 个 长 远 规划 的 风险 管理 系统 ， 
最 大 化 重要 资产 的 使 用 效率 。 


3. 奥巴马 政府 时 期 政策 


2013 年 2 月 12 日 ,奥巴马 政府 同时 颁布 了 第 13636 号 行政 令 ( 提 高 关键 基 
础 设施 的 网 络 安全 X2 和 第 21 号 总 统 决策 指令 《提高 关键 基础 设施 的 安全 性 和 
REH), 58 13636 号 行政 令 旨 在 指导 行政 部 门 设计 一 个 技术 中 立 的 网 络 安 
全 框架 ;促进 和 鼓励 相关 单位 采取 网 络 安全 防护 措施 ;增加 网 络 威胁 信息 共享 的 
数量 ,并 提高 信息 共享 的 实时 性 ;在 开展 关键 基础 设施 安全 防护 工作 时 ,要 求 政 
府 保障 公民 的 隐私 和 自由 权利 ;利用 现 有 法 规 来 规范 和 改进 网 络 安全 。 第 21 号 
总 统 决 策 指令 代替 了 原来 的 第 7 号 总 统 决策 指令 ,明确 指出 了 化 学 .商业 设施 、 
通信 关键 制造 ,大 坝 、 国 防 军工 .应 急 服务 ,能源 .金融 服务 .食品 和 农业 BE E 
施 . 公 共 卫 生 、 信 息 技 术 、 核 反应 堆 材 料 和 废物 .交通 ,城市 供水 和 废水 处 理 系统 
16 种 关键 基础 设施 行业 。 该 总 统 政策 指令 旨 在 督促 相关 部 门 建设 一 种 物理 和 
网 络 全 方位 安全 态势 感知 能 力 ,要 求 行政 部 门 和 主管 部 门 分 析 、 理 解 不 同 基础 设 
施行 业 系统 故障 和 安全 事件 的 级 联 后 果 , 评 估 和 完善 公共 部 门 和 私营 部 门 之 间 
的 合作 关系 及 安全 事件 信息 共享 机 制 ,不断 更 新 发 布 关键 基础 设施 安全 保护 计 
划 和 项 目 。 

在 第 13636 号 行政 令 和 第 21 号 总 统 决策 指令 的 指导 要 求 下 ,3000 多 个 信 
息 安全 专家 在 全 国 开 展 了 一 系列 工业 安全 研讨 会 ,共同 讨论 了 10 个 月 后 ,由 美 
国 国家 标准 与 技术 研究 院 起 草 了 《提高 关键 基础 设施 网 络 安全 的 框架 规范 》( 简 
称 《 规 范 》)59 的 第 一 个 版 本 。2014 年 2 月 12 号 ,美国 白宫 公布 了 这 一 规范 。 该 
规范 是 自 美国 启动 保护 关键 基础 设施 信息 安全 工作 以 来 发 布 的 第 一 个 较 全 面 的 
基础 性 指导 文件 。 《规范 ) 制 定 了 一 个 基于 风险 评估 方法 来 管理 网 络 安全 风险 的 
安全 框架 。 该 框架 包括 识别 、 保 护 、 检 测 、 响 应 和 恢复 五 个 方面 ,可 以 帮助 相关 组 


a 
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织 机 构 来 识别 安全 风险 ,实施 和 改进 网 络 安全 实践 。 

为 了 进一步 加 强 网 络 安全 法 律 、 法 规 保护 力度 ,2015 4E 12 月 18 日 ,奥巴马 
签署 了 《网 络 安全 信息 共享 法 案 (2015) )U7 ,并 将 其 标注 为 62015 年 网 络 安全 法 
案 》。 该 法 案 不 仅 将 国土 安全 部 作为 网 络 安全 信息 共享 的 枢纽 ,还 赋予 了 网 络 服 
务 提 供 商 更 高 的 网 络 监 控 权 利 , 是 美国 目前 在 网 络 安全 信息 共享 方面 的 一 部 较 
为 完备 的 法 律 。 此 外 ,该 法 案 第 208 条 专门 对 “多 重 并 发 的 关键 基础 设施 网 络 事 
件 ” 给 出 了 法 律 规范 。 

除了 通过 立法 来 促进 改善 国家 网 络 安全 以 外 ,奥巴马 政府 还 在 2016 年 2 月 
9 日 推行 了 《网 络 安全 国家 行动 计划 》, 从 建立 国家 网 络 安全 促进 委员 会 、 提 升 国 
家 整体 网 络 安全 水 平 ` 阻 止 /劝阻 并 破坏 网 络 空间 恶意 行为 、 提 高 网 络 安全 事件 
响应 能 力 、 保 护 个 人 隐私 、. 加 大 网 络 安全 研发 投入 等 方面 来 全 面 推动 美国 网 络 现 
代 化 .安全 化 工作 。 其 中 ,在 提升 国家 整体 网 络 安全 水 平方 面 ,该 计划 明确 指出 ， 
要 增强 关键 基础 设施 的 安全 性 和 恢复 力 。 


4. 特 朗 普 政 府 时 期 政策 


2017 年 5 月 11 日 , 特 朗 普 总 统 签署 了 网 络 安 全 行政 令 《增强 联邦 网 路 和 关 
键 基础 设施 的 网 络 安全 》, 在 联邦 网 络 、 关 键 基 础 设施 和 国家 三 个 方面 ,规定 了 增 
强 网 络 安 全 的 措施 。 在 关键 基础 设施 网 络 安全 方面 ,该 项 行政 令 要 求 应 遵照 奥 
巴 马 政 府 颁 布 的 第 21 号 总 统 决策 指令 所 规定 的 关键 基础 设施 行业 进行 安全 评 
估 , 并 于 180 日 内 提交 其 网 络 安全 风险 评估 报告 ,今后 每 年 度 评估 一 次 并 更 新 
报告 。 


1.5 本 书 组 织 


本 书 共 6 章 ,首先 给 出 了 关键 基础 设施 安全 概述 ,然后 分 别 介绍 了 美国 国土 
安全 部 能源 部 .国家 标准 与 技术 研究 院 、 国 家 科学 基金 会 .国防 高 级 研究 计划 局 
在 关键 基础 设施 领域 开展 的 相关 工作 。 本 书 按照 以 下 结构 来 安排 : 

第 1 章 关键 基础 设施 安全 概述 。 首 先 ,介绍 了 中 国 和 美国 对 关键 基础 设施 
的 解释 和 定义 ,基于 这 些 定义 ,给 出 了 本 书 的 定义 。 然 后 , 简 述 了 近年 来 发 生 的 
典型 安全 事件 ,并 分 析 了 这 些 安全 攻击 的 动机 和 模式 ;最 后 针对 这 些 安全 攻击 事 
件 , 总 结 了 美国 近 几 届 政 府 作出 的 应 对 政策 。 

第 2 章 介绍 了 美国 国土 安全 部 的 相关 工作 。 首 先 ,介绍 了 国土 安全 部 基本 
情况 及 其 职责 。 其 次 ,详细 介绍 了 "网 络 风 暴 ? 系 列 演习 。 然 后 ,介绍 了 工业 控制 
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系统 网 络 应 急 响应 小 组 的 主要 职责 及 其 网 络 安全 报告 内 容 。 最 后 介绍 了 国土 安 
全 部 开展 的 重要 项 目 。 

第 3 章 介绍 了 美国 能 源 部 的 相关 工作 。 首 先 ,介绍 了 能 源 部 及 其 国家 实验 
室 的 基本 情况 。 然 后 ,介绍 了 能 源 部 发 布 的 能 源 行 业 控 制 系统 安全 防护 技术 路 
线 。 最 后 ,介绍 了 能 源 部 最 为 著名 的 国家 SCADA 测试 床 项 目 及 其 具体 承担 项 
目 情况 。 

第 4 章 介绍 了 美国 国家 标准 与 技术 研究 院 的 相关 工作 。 首 先 , 介 绍 了 国 
家 标准 与 技术 研究 院 的 基本 情况 及 其 典型 项 目 。 然 后 ,详解 了 该 机 构 发 布 的 
两 个 关于 关键 基础 设施 的 重要 文件 , 即 提高 关键 基础 设施 网 络 安全 的 框架 规 
范 和 工业 控制 系统 安全 指南 。 最 后 ,介绍 了 该 机 构 开 展 的 典型 网 络 安全 性 能 
测试 床 。 

第 5 章 介绍 了 美国 国家 科学 基金 会 的 相关 工作 。 首 先 , 介 绍 了 国家 科学 基 
金 会 基本 情况 。 然 后 ,介绍 了 在 关键 基础 设施 安全 方面 开展 的 研发 项 目 。 最 后 ， 
介绍 了 基础 设施 安全 项 目 中 的 所 有 课题 情况 。 

第 6 章 介绍 了 美国 国防 高 级 研究 计划 局 的 相关 工作 。 首 先 ,介绍 了 国防 高 
级 研究 计划 局 基本 情况 。 然 后 ,介绍 了 网 络 空间 项 目 Plan X 项 目 。 最 后 ,给 出 
了 本 章 小 结 。 
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第 2 章 美国 国土 安全 部 


本 章 首先 总 结 分 析 了 美国 国土 安全 部 组 织 的 “网 络 风暴 ”系列 演习 的 内 容 和 
成 果 , 然 后 整理 了 国土 安全 部 工业 控制 系统 网 络 应 急 响 应 小 组 近 8 年 的 年 度 网 
络 安全 报告 ,并 调研 了 国土 安全 部 近年 来 在 关键 基础 设施 安全 方面 部 署 的 典型 
项 目 。 


2.1 国土 安全 部 职责 


“9。11” 事 件 发 生 之 后 ,为 了 应 对 恐怖 袭击 活动 ,美国 小 布什 总 统 于 2002 年 
11 月 25 日 签署 了 《国土 安全 法 ,宣布 成 立国 土 安全 部 。 美 国政 府 将 原来 隶属 
于 联邦 调查 局 .国防 部 .商业 部 .能源 部 等 机 构 的 相关 单位 进行 了 整合 和 重组 , 重 
新 组 建 了 一 个 主要 负责 国土 安全 事务 的 联邦 行政 部 门 , 即 国土 安全 部 。 国 土 安 
全 部 的 核心 职责 包括 5 个 方面 :防止 发 生 恐 怖 袭击 事件 和 加 强 安全 防范 能 力 , 管 
理 和 保护 边境 安全 ,落实 移民 法 规 和 监管 ,保卫 网 络 安 全 ,增强 自然 灾害 应 对 
能 力 。 

针对 上 述 五 个 职责 ,国土 安全 部 设立 了 国家 保护 与 计划 司 、 管 理 司 、 科 学 技 
术 司 ,政策 .法律 顾问 、 健 康 事务 .公共 事务 .国内 核 探 测 、 情 报 分 析 等 办 公 室 , 另 
设 秘书 长 和 副 秘 书 长 .行政 秘书 和 军事 顾问 等 职位 。 此 外 ,国土 安全 部 还 设置 了 
美国 海关 和 边境 保护 .美国 公民 和 移民 服务 .美国 移民 和 海关 执法 .美国 海岸 警 
卫 \ 联 邦 应 急 管理 .美国 特勤 和 美国 交通 安全 管理 等 机 构 。 国 土 安全 部 的 组 织 架 
构 如 图 2-1 所 示 。 


2.2 网 络 风暴 演习 


“和 恐怖 袭击 ?和 “网络 威胁 ?是 自 “9。11? 事 件 之 后 美国 面临 的 首要 国家 安全 
威胁 ,关键 基础 设施 ?是 主要 攻击 目标 。 因 此 ,为 了 提高 美国 关键 基础 设施 系统 
的 安全 防范 和 应 急 响 应 能 力 ,国土 安全 部 的 国家 网 络 安全 局 (National Cyber 
Security Division. NCSD) f£ 2006 年 组 织 开 启 了 “网 络 风 暴 ”(Cyber Storm, CS) 
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秘书 长 行政 秘书 
办 公 室 主任 
副 秘 书 长 军事 顾问 


管理 司 | || 科 学 技术 司 | | ERAN | | 政策 办 公 室 ||| SRRA] | 法 务 办 公 室 | | AISI | | 监督 办 公 室 


PME ayya] [政府 同事 务 | | 情报 分 析 | [ust ARSE] leg aa] [从 员 权 和 与 公园 
办 公 室 || sve || 办 公 室 | | BASS esie eh REPAS Cade 
iP nase 
美国 海关 和 | | 美国 公民 和 美国 海上 nea | pee 美国 交通 安全 
边 填 保护 移民 服务 ST 管理 局 执法 局 AR 管理 局 


图 2-1 美国 国土 安全 部 组 织 架 构 中 


系列 演习 四。 该 演习 是 第 一 次 由 美国 政府 主导 的 大 规模 国家 级 网 络 安全 演习 。 
美国 公共 部 门 、 私 营 部 门 .国际 机 构 、 公 司 等 共计 100 多 个 单位 参与 了 本 次 演习 
的 筹备 和 实施 工作 。“ 网 络 风暴 ?系列 演习 的 主要 目的 是 : 中 检验 网 络 安全 应 急 
预案 是 否 合理 ,预案 是 否 成 熟 ; @ 基 础 设施 使 用 者 和 厂商 之 间 、 政 府 部 门 之 间 网 
络 安全 信息 共享 是 否 充 分 、 及 时 ; @ 应 急 团 队 对 网 络 攻 击 的 补救 用 时 、 损 失 代 价 
等 最 终 处 理 效果 是 否 满足 既定 目标 。 

与 一 般 的 攻防 比赛 不 同 ,“ 网 络 风暴 ”系列 演习 侧重 于 考察 参 演 单位 在 网 络 
攻击 情况 下 的 协调 应 急 能 力 , 而 不 是 将 选拔 技术 人 才 作 为 演习 的 主要 目标 。 演 
习 主 要 关注 如 何 处 理 好 公共 部 门 和 私营 企业 之 间 的 关系 以 及 联邦 政府 和 州 ` 地 
区 及 各 国政 府 之 间 的 协同 关系 。 例 如 ,“ 网 络 风暴 1 ”演习 旨 在 提高 联邦 、 州 、 五 
眼 联 盟 政府 以 及 私营 部 门 之 间 协 同 应 对 网 络 空间 重大 攻击 事件 的 应 急 响应 能 
力 。 该 演习 在 预先 准备 好 的 封闭 环境 中 ,模拟 了 一 个 复杂 的 网 络 攻防 场景 。 攻 
方针 对 能 源 、 信 息 系统 .金融 和 交通 等 行业 的 关键 基础 设施 发 起 攻击 ,破坏 联邦 
政府 及 五 眼 联盟 参 演 网 络 ; 守 方 负责 监 测 .搜集 攻击 信息 .制定 实施 应 急 响 应 预 
案 以 及 采取 安全 保护 措施 。 演 习 通过 发 现 攻击 共享 信息 ,协同 采取 网 络 安全 防 
护 技术 等 方式 来 在 不 同 层面 演练 参 演 单位 之 间 的 协同 应 急 响应 能 力 。 

迄今 为 止 ,“ 网 络 风暴 ”系列 演习 已 经 开展 了 5 次。 通过 这 些 演习 , 参 演 人 员 
发 现 了 在 网 络 安 全 应 急 响 应 过 程 中 存在 的 诸多 问题 。 针 对 暴露 出 来 的 问题 ,应 
急 响 应 共同 体 通 过 不 断 地 修订 应 急 预 案 、 加 大 信息 共享 力度 ,逐渐 提高 了 在 关键 
基础 设施 遭受 恐怖 袭击 和 网 络 攻击 时 的 应 对 能 力 。 
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2.2.1 网 络 风暴 工 


1. 基本 情况 


演习 时 间 : 2006. 2. 6 一 2006. 2. 10 

组 织 单位 : 国土 安全 部 国家 网 络 安全 局 

。 演习 目的 : 针对 关键 基础 设施 发 生 的 重大 网 络 安全 事件 ,提升 联邦 、 州 、 
国际 政府 等 公共 部 门 之 间 及 其 与 信息 技术 、 电 信 、 能 源 和 交通 等 私营 部 
门 之 间 的 应 急 响 应 协作 能 力 。 

参 演 方 : 四 五 眼 联盟 ”国家 一 一 英国 .美国 ,加 拿 大、 澳大利亚 和 新 西 兰 ; 
@ 国 土 安全 部 .商务 部 .国防 部 、 国 家 安全 局 .能源 部 、 国 务 院 、 交 通 部 、 财 
政 部 .美国 联邦 存款 保险 公司 、 纽 约 联邦 储备 银行 、 司 法 部 .卫生 及 公共 
服务 部 、 中 央 情 报 局 ,行政 管理 和 预算 局 .国家 安全 委员 会 .国土 安全 委 
员 会 .美国 红 十 字 协 会 .多 州 信息 共享 和 分 析 中 心 .密歇根 州 政府 、 蒙 大 
拿 州 政府 、 纽 约 州 政府 等 联邦 或 州 公共 部 门 ; @1 个 银行 和 金融 公司 、 
11 个 信息 技术 公司 .北美 电力 可 靠 性 委员 会 .7 个 电力 公司 、2 个 民航 公 
司 加拿大 空域 管制 机 构 .4 个 信息 共享 和 分 析 中 心 等 私营 部 门 。 

演习 场所 : 具体 演习 场所 共 60 余 处 ,指挥 部 设 在 华盛顿 。 


2. 演习 目标 


演习 的 目的 是 通过 演练 网 络 攻 防 和 安全 事件 响应 过 程 ,评估 参 演 单位 的 网 
络 安全 应 急 响 应 能 力 和 信息 共享 协作 能 力 。 通 过 演习 发 现 安全 事件 信息 共享 和 
单位 之 间 沟 通 协作 等 工作 中 存在 的 障碍 ,制定 或 修改 网 络 安全 应 急 响 应 预案 , 规 
范 共同 途径 和 方法 ,提高 应 急 响 应 共同 体 的 工作 效率 ,加 强 安全 防范 与 应 对 能 
力 呈 。“ 网 络 风暴 工 演 习 手 册 规 定 了 本 次 演习 的 8 个 目标 : 

CD 通过 创建 国家 网 络 响应 协调 组 (National Cyber Response Coordination 
Group, NCRCG ) 和 跨 部 门 事 件 管理 组 (Interagency Incident Management 
Group，IIMG) 来 负责 网 络 空间 安全 事件 应 急 响应 中 的 协调 和 管理 工作 ,演练 不 
同 部 门 之 间 的 安全 事件 处 理 .沟通 与 决策 。 

(2) 演练 不 同 国家 政府 之 间 及 联邦 政府 和 州 政府 之 间 的 沟通 协调 和 事件 响 


* 五 眼 联 盟国 家 指 英 国 、 美 国 .加 拿 大 、 澳 大 利 亚 和 新 西 兰 。 
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(3) 找 出 阻碍 实施 网 络 安全 措施 的 政策 或 体制 问题 。 

(4) 建立 公共 和 私营 部 门 之 间 有 效 的 沟通 渠道 ,提高 网 络 安全 事件 响应 和 
恢复 协调 效率 ,明确 关键 信息 共享 的 路 径 和 机 制 。 

(5) 为 了 促进 关键 基础 设施 主管 或 运营 单位 和 企业 之 间 的 信息 沟通 ,应 明 
确 公 共和 私营 部 门 之 间 沟 通信 息 的 过 程 和 程序 。 

(6) 明确 基础 设施 的 网 络 物理 相互 依赖 关系 对 现实 世界 经 济 和 政治 的 
影响 。 

(7) 提高 民众 对 重大 网 络 安全 事件 在 经 济 和 国家 安全 方面 影响 的 关注 度 。 

(8) 重点 关注 如 何 提高 网 络 事件 响应 和 恢复 的 能 力 , 研 发 相关 可 用 工具 和 
技术 。 

3. 演习 范围 及 场景 


“网 络 风暴 工 ? 演 习 范 围 设 定 在 能 源 、 交 通 IT/ 通 信 三 个 领域 。 演 习 规划 团 
队 预 先 建立 一 个 封闭 安全 的 网 络 环境 ,消除 演习 系统 的 任何 外 部 干扰 因素 ,在 此 
封闭 环境 中 执行 所 有 模拟 攻击 和 练习 。 因 此 ,演习 对 任何 真实 世界 的 关键 基础 
设施 都 无 损害 。 所 有 演习 场景 虽然 都 是 基于 假设 且 绝 对 有 可 能 发 生 的 ,但 并 不 
能 将 它们 作为 未 来 与 恐怖 袭击 或 网 络 攻击 事件 的 预言 。 

本 次 演习 仿真 了 复杂 的 网 络 攻击 活动 ,设计 这 些 场景 的 目的 是 要 突出 网 络 
系统 与 物理 基础 设施 间 的 关联 性 ,并 检验 政府 .公共 部 门 和 私营 部 门 之 间 的 协调 
和 沟通 能 力 。 演 习 旨 在 提高 参与 者 应 对 网 络 战 的 响应 能 力 ,同时 帮助 其 充分 理 
解 . 分 析 和 评估 关键 网 络 元 素 的 作用 。 基 于 模拟 的 网 络 元 素 ,具体 演习 场景 包 
括 :破坏 能 源 和 交通 基础 设施 的 网 络 攻 击 ; 破 坏 联 邦 、 州 与 国际 政府 的 IT/ 通 信 
系统 的 正常 运转 ,以 此 来 摧毁 政府 的 公众 信任 度 。 演 习 参 与 者 通过 以 下 过 程 来 
实际 演练 : 

CD 识别 所 有 沟通 渠道 ,并 有 效 地 使 用 这 些 渠道 来 交流 分 析 攻 击 行为 。 

(2) 将 一 系列 相互 关联 的 事件 进行 整理 汇总 ,以 此 作为 一 个 严重 的 安全 威 
胁 问 题 ,提交 给 国家 网 络 响应 协调 组 处 理 。 演 练 国 家 网 络 响应 协调 组 与 蜂 部 门 
事件 管理 组 之 间 的 协调 沟通 关系 。 

(3) 通过 设 定 ,执行 和 调整 应 急 预 案 ,演练 美国 联邦 、 州 及 国际 政府 等 公共 
部 门 和 能 源 、 交 通 IT/ 通信 单位 等 私营 部 门 之 间 的 信息 共享 和 协作 能 力 。 


4. 演习 成 果 
“网 络 风 暴 1 ”是 一 次 复杂 的 多 国家 、 跨 部 门 网 络 安全 演习 ,是 美国 国家 和 国 
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际 社会 关键 基础 设施 网 络 安全 事件 和 怒 怖 袭击 应 急 响 应 工作 的 一 个 里 程 碑 。 演 
习 实 现 了 培训 与 关键 基础 设施 相关 的 单位 和 个 人 的 应 急 能 力 ,检验 不 同 国家 、 部 
门 之 间 的 协作 沟通 能 力 等 方面 的 既定 演习 目标 。 具 体 地 ,本 次 演习 取得 了 7 个 
重要 成 果 。 

CD 跨国 家 、 跨 部 门 协调 能 力 

本 次 演习 中 ,国家 网 络 响应 协调 组 (NCRCG ) 与 跨 部 门 事件 管理 组 (IIMG) 
积极 协调 合作 ,评估 了 国家 关键 基础 设施 的 安全 影响 因素 ,定义 了 国家 安全 和 经 
济 利益 所 面临 的 威胁 ,提升 了 国土 安全 预警 系统 的 安全 水 平 。 但 是 ,在 对 网 络 攻 
击 或 其 他 威胁 进行 响应 时 ,二 者 仍 需 要 进一步 增强 合作 力度 ,有 效 提升 系统 的 安 
全 评估 水 平和 预警 准确 度 。 

对 于 网 络 应 急 活动 来 说 ,信息 的 双向 流动 是 关键 。 更 大 范围 内 的 信息 共享 ， 
可 为 国家 和 国土 安全 进行 关键 决策 ,提供 更 符合 情况 的 指导 帮助 。 在 演习 中 , 美 
国电 脑 警 备 小 组 (United States Computer Emergency Readiness Team, US- 
CERT) 服 务 作为 应 急 响 应 信息 的 汇总 和 过 滤 者 ,对 DHS 和 NCRCG 的 核心 和 
外 围 机 构 提 供应 急 信 息 。 这 一 角色 至 关 重 要 ,对 DHS 和 NCRCG 获知 安全 态 
势 情 报 至 关 重 要 。 演 习 发 现 , US-CERT 在 支持 NCRCG 方面 表现 不 错 ,但 同 
时 ,在 运行 信息 过 滤 方 面 ,它们 的 峰值 处 理 能 力 却 不 太 尽 如 人 意 。 因 此 ,US- 
CERT 今后 需要 考虑 如 何 利用 点 到 点 分 布 式 方式 来 提高 海量 安全 事件 信息 处 理 
速度 和 效率 。 此 外 ,在 面 对 重 大 灾害 或 一 系列 事件 时 ,错误 的 媒体 信息 可 能 会 导 
BAAR R ic ,而 且 不 正确 的 媒体 信息 可 能 比 敌人 的 攻击 所 带 来 的 损害 会 更 大 。 
因此 ,演习 发 现 ,无 论 信息 源头 在 哪里 ,都 要 建立 一 个 清晰 的 公众 报道 和 信息 公 
布 渠 道 ,准确 并 及 时 地 将 易 被 民众 理解 的 重要 信息 发 布 出 去 。 

参与 演习 的 同盟 国 参与 者 发 现 , 需 要 仿照 美国 IMG 和 NCRCG. ,明确 并 组 
织 建立 和 自身 国家 相 适 应 的 职能 清晰 、 结 构 合 理 的 应 急 响 应 处 理 组 织 。 从 而 有 
利于 各 国 在 现实 场景 下 遭遇 网 络 攻击 时 ,能 够 实施 更 有 效 的 应 急 响应 行动 。 

(2) 不 断 完善 响应 过 程 、 风 险 评 估 、 角 色 和 责任 ,制定 备份 通信 方案 

对 于 许多 参与 者 来 说 ,由 于 之 前 未 曾 磁 到 过 类 似 网 络 安全 的 事故 ,缺乏 完备 
的 标准 化 响应 过 程 和 预案 , 当 需 要 与 其 他 参 演 机 构 试图 建立 信任 和 伙伴 关系 时 ， 
他 们 根本 无 法 确认 不 同 机 构 应 当 承担 的 角色 和 责任 。 因 此 ,在 下 一 次 风暴 演习 
之 前 ,各 参与 国 和 组 织 机 构 都 应 针对 这 次 演习 中 所 暴露 的 问题 一 一 排查 ,从 风险 
评估 到 各 组 织 机 构 的 协作 并 明确 各 自 角色 责任 ,最 后 形成 一 个 标准 化 响应 流程 。 

此 外 ,由 于 网 络 事件 的 响应 活动 对 通信 系统 的 高 度 依赖 性 ,通信 系统 往往 会 
成 为 敌 方 网 络 安全 攻击 的 主要 对 象 。 演 习 发 现 , 除 上 述 需要 不 断 完善 的 部 分 之 
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外 ,更 需要 针对 网 络 安全 事件 导致 通信 中 断 的 情况 事先 制定 备份 通信 或 是 快速 
恢复 的 通信 方案 。 

(3) 多 个 事件 中 公共 和 私营 部 门 的 协作 ,网 络 安全 实体 间 的 合作 

即使 演习 中 的 大 多 数 安全 事件 都 被 认为 是 一 个 个 孤立 的 事件 ,但 是 当 对 演 
习 中 的 安全 事件 之 间 的 相互 依赖 性 进行 评估 时 ,通常 涉及 多 个 部 门 和 事件 。 如 
何 协调 多 个 基础 设施 的 多 个 事件 ,以 及 加 强 公共 与 私营 部 门 间 的 协作 ,这些 问题 
对 于 各 参与 国 、 机 构 仍 然 是 一 个 重大 挑战 。 在 应 对 多 个 网 络 安 全 事件 时 ,演习 凸 
显 了 建立 快速 安全 评估 和 安全 事件 优先 级 快速 排序 或 快速 分 类 方法 的 重要 性 。 

随 着 网 络 安全 事件 的 增加 ,不 同 网 络 安全 实体 之 间 的 协作 和 沟通 的 重要 性 
逐渐 显现 出 来 。 演 习 中 各 实体 间 的 协调 合作 对 于 安全 事件 应 急 响应 显得 尤为 关 
键 。 本 次 演习 针对 机 构 网 络 安全 响应 的 能 力 进行 了 演练 。 多 重 的 、 同 时 发 生 的 、 
需要 协调 处 理 的 安全 事件 ,给 应 急 响 应 提出 了 更 高 的 要 求 。 针 对 并 发 的 攻击 ,在 
需要 协调 处 理 的 情况 下 ,尤其 是 有 多 方面 影响 因素 或 者 多 个 责任 单位 的 安全 事 
件 而 言 ,确定 应 急 响应 的 优先 顺序 ,准确 整合 信息 以 确定 恰当 的 响应 是 解决 网 络 
安全 事件 的 关键 点 。 澄 清 跨 部 门 的 角色 和 责任 ,并 在 公众 和 私营 部 门 中 明确 并 
述 安全 责任 及 后 果 , 可 以 帮助 参与 者 更 好 地 建立 协调 预防 和 解决 办 法 。 

(4) 反复 演习 项 目 作用 

反复 演习 将 有 助 于 参与 者 加 强 实 施 有 组 织 的 网 络 安 全 事件 响应 活动 能 力 ， 
熟悉 划分 任务 角色 ,并 不 断 完善 应 急 响 应 政策 和 信息 共享 流程 。 持 续 开展 网 络 
安全 培训 、 讨 论 交 流 和 安全 演习 ,对 于 建立 不 同 组 织 之 间 的 相互 协作 ,加 强 对 网 
络 安全 事件 的 协调 响应 是 行 之 有 效 的 办 法 。 可 信 、 及 时 的 安全 事件 信息 对 于 参 
与 者 制定 安全 响应 对 策 来 说 是 至 关 重 要 的 。 这 些 安全 信息 的 获取 和 甄别 方法 也 
需要 通过 定期 的 安全 演习 来 不 断 得 到 完善 。 

(5) 应 急 响 应 和 信息 访问 的 通用 框架 

一 个 应 急 响应 和 信息 访问 的 通用 框架 ,可 以 为 网 络 事件 的 相关 者 提供 一 种 
用 以 应 急 响 应 、 安 全 评估 和 讨论 的 沟通 渠道 。 可 用 的 信息 交流 通道 加 强 了 国内 
与 国际 网 络 应 急 响 应 团体 之 间 的 关系 。 如 同 真实 世界 ,网 络 风暴 也 存在 时 而 信 
息 匮乏 时 而 数据 过 多 的 情况 。 绝 大 多 数 的 演习 参与 者 都 反映 ,要 识别 精确 和 最 
新 的 信息 源 是 比较 困难 的 。 针 对 一 个 单 点 事件 往往 有 多 重 安全 警报 ,这 在 演习 
者 中 容易 引起 混乱 ,难以 建立 一 个 单一 的 协调 响应 流程 。 因 此 ,演习 参与 者 们 强 
调 , 单 点 信息 将 有 助 于 建立 一 个 应 急 响 应 和 信息 访问 通用 框架 ,并 且 有 利于 提高 
应 急 响 应 的 时 效 性 。US-CERT 提供 了 重要 的 可 操作 的 信息 ,包括 安全 警报 和 
技术 公告 。 然 而 , 仍 需要 进一步 提高 US-CERT 公布 信息 的 能 力 , 使 这 一 过 程 变 
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得 更 及 时 、 安 全 和 精确 。 演 习 参 与 者 们 认为 ,US-CERT 是 最 适合 向 相关 组 织 分 
发 实时 关键 信息 的 机 构 。 

(6) 战略 通信 和 公共 关系 规划 

公共 信息 必须 作为 协作 应 急 计 划 和 事件 响应 的 一 部 分 ,为 事件 响应 相关 各 
方 提 供 关 键 信 息 ,并 使 公众 能 够 采取 符合 自身 状况 的 个 人 防护 或 响应 行动 。 

对 于 私营 单位 来 说 ,公共 事务 就 意味 着 战略 沟通 。 跨 国 、 私 营 部 门 之 间 的 沟 
通 机 制 和 公共 关系 一 定 要 落实 到 位 ,这 样 才 能 在 危机 发 生 时 采取 有 效 的 协调 办 
法 。 此 外 ,公共 事务 作为 规划 和 响应 流程 的 一 部 分 也 很 重要 ,因为 公共 事务 在 建 
立 公 众 安全 事件 应 对 和 响应 信心 方面 扮演 着 重要 角色 ,并 且 也 给 公众 和 媒体 提 
供 了 安全 事件 信息 。 

联邦 响应 措施 一 定 要 确保 公共 事务 团队 能 够 及 时 将 新 闻 稿 和 准确 的 时 况 信 
息 提供 给 合作 组 织 和 媒体 。 这 些 组 织 间 的 协调 将 保证 新 闻 消 息 不 会 进入 错误 渠 
道 , 所 有 的 联邦 官员 都 可 获得 一 个 统一 的 信息 用 于 对 外 公布 。 这 一 点 做 得 成 功 
将 增加 公众 的 信任 ,将 把 个 人 和 企业 响应 错误 信息 的 负面 影响 减 到 最 小 。 

(7) 过 程 . 工 具 和 技术 的 改进 

改进 的 流程 .工具 和 训练 ,关注 的 是 分 析 网 络 攻击 总 体 所 产生 的 物理 的 、 经 
济 的 和 国家 安全 的 影响 ,并 将 其 分 出 不 同 的 优先 级 ,将 会 改进 响应 工作 的 质量 、 
效率 及 协调 工作 的 顺畅 度 。 

在 演习 规划 期 间 ,演习 参与 者 对 监控 与 数据 采集 系统 (Supervisory Control 
And Data Acquisition,SCADA) 进 行 了 深入 的 研究 并 发 现 了 大 量 安全 问题 。 此 
外 ,也 证 实 了 当 漏 洞 存 在 要 进行 安全 修复 时 存在 的 种 种 困难 。 此 外 ,对 于 在 组 织 
间 交 换 和 共享 机 密 信息 问题 , 亚 须 开发 一 种 能 够 在 整个 响应 社区 内 以 较 低 密级 
处 理 和 共享 关键 信息 的 框架 和 流程 。 还 需要 设计 能 够 降级 / 脱 密 的 方法 ,从 而 实 
现 与 相关 组 织 共 享 来 自 机 密 信 息 源 的 信息 交互 渠道 和 流程 。 


小 结 : 5 个 国家 、60 多 个 地 方 的 超过 100 个 公共 和 私营 机 构 协会 .公司 参 
与 了 “网 络 风暴 1” 演习。 总 而 言 之 ,无 论 从 保护 关键 基础 设施 的 国家 和 国际 网 
络 事件 响应 方面 ,还 是 从 公众 和 私营 部 门 合作 关系 的 利益 方面 看 “网 络 风暴 工 ” 
都 是 一 次 重要 的 里 程 碑 式 演习 。 对 参与 者 以 及 相关 人 员 ,演习 达到 了 所 制定 的 
训练 目标 。 多 层次 跨国 协作 应 急 响 应 能 力 得 到 了 有 效 提升 。 联 邦 机 构 之 间 , 包 
括 情报 、 执 法 部 门 . 军 队 ,私营 部 门 和 政府 之 间 , 以 及 国际 合作 伙伴 之 间 的 协作 和 
信息 共享 演练 效果 显著 。 本 次 演习 检验 了 国家 层面 上 的 网 络 安全 事件 应 急 响 预 
案 的 可 行 性 。 此 外 ,本 次 演习 还 建立 起 了 多 个 政府 公共 组 织 和 私营 部 门 的 合作 
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渠道 ,有 利于 今后 开展 跨 部 门 安全 事件 应 急 响 应 工作 。 
2.2.2 MAME I 
1. 基本 情况 


。 演习 时 间 : 2008. 03. 10 一 2008. 3. 14 

组 织 单位 : 国土 安全 部 国家 网 络 安全 部 门 

演习 目的 : 提升 联邦 、 州 .国际 政府 以 及 私营 部 门 之 间 , 应 对 网 络 空间 重 
大 攻击 事件 的 应 急 响 应 能 力 。 

参 演 方 : 五 眼 联 盟国 家 ; @ 国 土 安全 部 、 中 央 情 报 局 宾夕法尼亚 州 、 
弗吉尼亚 州 、 商 务 部 .国防 部 .能 源 部 .卫生 及 公共 服务 部 .司法 部 、 国 务 
院 、 交 通 部 、 情 报社 区 事件 响应 中 心 .国家 安全 局 .国家 网 络 响应 协调 小 
组 .加利福尼亚 州 、 科 罗拉 多 州 、 特 拉 华 州 、. 伊 利 诺 伊 州 、 密 软 根 州 、 北 卡 
罗 来 纳 州 、 得 克 萨 斯 州 、 田 纳西 河流 域 管理 局 等 联邦 或 州 公共 部 门 ; 
Q2 个 管道 公司 、15 个 信息 技术 公司 、3 个 铁路 公司 .9 个 信息 共享 和 分 
析 中 心 等 私营 部 门 。 

演习 场所 :指挥 部 设 在 华盛顿 的 美国 特工 处 。 


2. 演习 目标 


“网 络 风暴 下 ?演习 旨 在 改善 网 络 事件 响应 共同 体 的 能 力 ,促进 发 展 在 关键 
基础 设施 行业 中 不 同 单位 之 间 的 合作 伙伴 关系 ,加 强 联邦 政府 和 州 \. 地 区 和 国际 
层面 政府 伙伴 之 间 的 关系 。 本 次 演习 的 主要 目的 是 检验 网 络 响应 共同 体 在 应 对 
全 球 IT 通信、 化 学 和 交通 运输 领域 基础 设施 典型 行业 遭受 网 络 协同 攻击 时 的 
应 急 响应 能 力 。 为 了 应 对 网 络 协同 攻击 ,演习 促使 参与 者 从 技术 .行动 和 战略 等 
方面 进行 安全 事件 应 急 响 应 [9 。 

演习 目标 如 下 : 

(1) 检验 网 络 事件 响应 共同 体 预防 和 响应 网 络 协同 攻击 的 能 力 ; 

C2) 依照 国家 层面 应 急 响 应 政策 和 程序 ,演练 高 层 领导 在 决策 过 程 中 和 不 
同 机 构 之 间 的 协调 与 合作 ; 

(3) 针对 网 络 事件 态势 感知 ,响应 和 恢复 信息 的 收集 和 分 发 ,检验 信息 共享 
方式 和 沟通 渠道 是 否 通畅 ; 

(4) 在 不 损失 知识 产权 和 国家 安全 利益 的 前 提 下 ,检验 跨 边 界 敏感 信息 和 
保密 信息 的 共享 方式 和 过 程 是 否 恰当 。 


3. 演习 范围 及 场景 


“网 络 风暴 下 ?的 设计 目标 是 在 应 对 协同 网 络 攻 击 的 预防 ,响应 和 恢复 过 程 
中 ,演练 公共 和 私营 部 门 的 协调 能 力 , 制 定 并 评估 网 络 安全 应 急 响 应 预案 ,改进 
网 络 安全 环境 。 在 网 络 安全 事件 响应 时 间 和 资源 的 限制 条 件 下 ,演习 范围 主要 
集中 于 重要 利益 相关 方 进行 跨行 业 跨 部 门 的 协调 合作 。 

与 “网 络 风暴 E ”类 似 , 本 次 演习 也 是 在 一 个 封闭 的 模拟 环境 下 ,演习 参与 者 
演练 他 们 在 IT、 通 信 、 化 工 及 铁路 和 管道 交通 运输 行业 的 网 络 安全 应 急 响应 能 
力 。 演 习 集 中 于 三 个 主要 场景 :互联 网 中 断 .通信 中 断 和 控制 系统 破坏 。 在 演习 
过 程 中 所 有 的 攻击 都 是 模拟 的 ,对 现实 世界 正在 运行 的 网 络 没有 任何 影响 。 


4. 演习 成 果 


本 次 演习 按照 四 个 既定 目标 开展 了 一 系列 制定 修改、 执行 预案 的 应 急 响应 
演练 工作 。 演 习 取 得 了 5 个 显著 成 果 。 

(1) 标准 操作 流程 和 建立 合作 关系 的 价值 

通过 本 次 演习 发 现 , 参 演 单位 制定 了 标准 操作 流程 和 建立 不 同 组 织 之 间 的 
协作 关系 ,不 仅 提高 了 制定 安全 事件 应 急 响 应 预案 和 开展 应 急 恢 复工 作 的 效率 ， 
而 且 还 加 快 了 安全 事件 信息 在 网 络 安全 应 急 响 应 共同 体 中 的 传播 速度 。 本 次 演 
习 不 仅 进一步 细 化 和 完善 了 标准 操作 流程 ,使 之 变 得 更 加 成 熟 和 规范 ,而且 还 通 
过 模拟 协同 网 络 攻击 ,更 加 强调 了 在 攻击 发 生 之 前 不 同 组 织 之 间 建 立 协作 关系 
的 重要 性 。 

(2) 物理 和 网 络 的 相互 依赖 性 

网 络 安全 事件 能 够 产生 物理 破坏 影响 ,物理 破坏 也 会 反作用 于 网 络 安全 。 
物理 攻击 和 网 络 攻击 所 导致 的 后 果 通 常 存 在 较为 紧密 的 联系 。 物 理 攻 击 影响 网 
络 基础 设施 ,网 络 中 断 可 能 造成 严重 的 物理 后 果 。 通 过 对 事件 产生 的 所 有 可 能 
后 果 进 行 分 析 , 并 据 此 制定 响应 方案 ,可 以 有 效 降低 物理 和 网 络 安全 事件 发 生 的 
概率 ,减少 事件 导致 的 破坏 影响 。 充 分 理解 这 个 道理 ,对 于 网 络 安全 应 急 部 门 完 
善 应 急 响 应 预案 和 提高 应 急 能 力 来 说 是 至 关 重要 的 。 相 关 部 门 在 明确 了 网 络 响 
应 与 传统 物理 破坏 响应 活动 之 间 的 固有 区 别 以 后 ,还 应 该 考虑 物理 破坏 和 网 络 
安全 攻击 的 关联 关系 ,进而 制定 整体 的 应 急 响 应 预案 。 

(3) 可 靠 应 急 通 信 工 具 的 重要 性 

可 靠 应 急 通信 工具 对 于 安全 应 急 响 应 来 说 是 非常 重要 的 。 然 而 ,本 次 演习 
发 现 许多 参与 者 缺乏 使 用 应 急 通 信 工 具 的 基本 知识 。 为 了 最 大 程度 地 发 挥 这 些 
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工具 的 作用 ,网 络 安全 应 急 响应 社区 应 该 着 力 检 查 这 些 应 急 通信 工具 的 安装 部 
署 和 使 用 情况 ,对 使 用 者 加 强 指 导 和 培训 。 

(4) 角色 和 责任 的 说 明 

自 “ 网 络 风暴 I” 以 来 , 跨 机 构 高 级 领导 层面 的 网 络 事件 响应 协调 能 力 已 经 
获得 了 实质 性 的 改进 。 继 续 曾 明和 细 化 角色 、 责 任 和 沟通 渠道 ,将 有 利于 进一步 
提高 不 同 组 织 应 对 网 络 安全 事件 的 能 力 。 然 而 ,本 次 演习 发 现 ,行业 协调 委员 会 
(Sector Coordinating Councils. SCC) ,信息 共享 和 分 析 中 心 .US-CERT、 国 家 网 
络 响应 协调 小 组 和 危机 行动 小 组 (Crisis Action Team，CAT) 的 关系 和 责任 仍 
需 继续 明确 。 

此 外 , 面 对 物 理 灾害 ,在 高 级 领导 人 之 间 的 沟通 交流 通常 会 顺利 地 进行 。 但 
在 网 络 事件 中 ,由 于 网 络 概念 的 缺乏 、 网 络 术语 的 使 用 模糊 ,这 种 交流 往往 会 陷 
和 困境。 所 以 ,应 急 响 应 和 关键 基础 设施 保护 的 国家 级 政策 和 实施 流程 需要 关 
于 网 络 事件 的 解释 说 明 。 

(5) 非 应 急 响应 期 间 的 信息 沟通 交流 的 重要 性 

在 网 络 安 全 应 急 响 应 社区 内 ,经 常 开展 一 些 与 应 急 响应 无 关 的 沟通 交流 也 
能 够 改进 通信 方式 和 途径 ,增强 不 同 组 织 间 的 联系 ,进一步 深入 明确 组 织 的 网 络 
安全 事件 响应 角色 和 职责 。 这 些 在 非 应 急 期 间 交 流 形式 的 制度 化 和 规范 化 ,有 
利于 发 挥 不 同 组 织 在 真实 安全 应 急 响应 事件 中 的 作用 。 本 次 演习 中 ,演习 参与 
者 与 其 协作 伙伴 及 对 应 组 织 建立 起 了 更 为 紧密 的 合作 关系 ,公共 和 私营 部 门 之 
间 的 沟通 和 协调 工作 得 到 了 显著 改进 。 


小 结 :“ 网 络 风暴 工 ? 在 “网 络 风 暴 工 ?的 基础 上 ,继续 强化 对 不 同 参 演 单位 
之 间 的 沟通 与 协作 关系 的 演练 ,取得 了 5 个 显著 成 果 。 各 参与 国 与 机 构 较 上 次 
演习 而 言 ,在 遭遇 网 络 协同 攻击 时 ,其 响应 .协作 、 信 息 共 享 等 能 力 有 了 较 大 的 提 
升 ,但 仍然 暴露 出 许多 问题 ,这 也 就 给 今后 的 网 络 安全 应 急 响 应 工作 指明 了 发 展 
方向 。 基 于 这 些 成 果 , 隶 属于 国土 安全 部 的 国家 网 络 安全 局 ,从 作为 网 络 应 急 响 
应 社区 领导 者 的 角度 出 发 来 评估 自身 的 工作 ,发 现存 在 的 不 足 , 从 而 采取 相关 措 
施 进行 改进 。 
2.2.3 MAW Il 

1, 基本 情况 


。 演习 时 间 : 2010. 09. 27 一 2010. 10. 01 


。 组 织 单位 : 国土 安全 部 国家 网 络 安全 局 

演习 目的 : 提升 联邦 、 州 .国际 政府 以 及 私营 部 门 之 间 , 应 对 网 络 空间 重 
大 攻击 事件 的 应 急 响应 能 力 。 

参 演 方 : 12 个 国家 政府 机 构 、12 个 联邦 部 门 、13 个 州 政府 .60 家 私营 
企业 。 

。 演习 场所 : 指挥 部 设 在 华盛顿 。 


2. 演习 目标 


本 次 演习 是 隶属 于 国土 安全 部 的 国家 网 络 安全 通信 和 整合 中 心 (National 
Cybersecurity and Communications Integration Center, NCCIC) 成 立 后 的 第 一 
次 “网 络 风暴 ”演习 ,是 对 NCCIC 协调 组 织 能 力 及 国家 网 络 事 件 响 应 计划 框架 等 
预案 可 行 性 的 一 次 检验 。 因 此 本 次 演习 的 目的 主要 是 检验 电力 、 水 利 以 及 银行 
等 国家 重要 部 门 在 遭受 大 规模 的 网 络 攻击 时 NCCIC 在 各 机 构 间 所 发 挥 的 协同 
组 织 和 响应 能 力 呈 。 

基于 上 述 演习 目的 和 当前 的 网 络 安全 战略 及 网 络 运营 环境 状况 ,公共 和 私 
营 部 门 的 规划 者 和 利益 相关 者 为 网 络 风 暴 焉 确立 了 4 个 演习 目标 ,主要 演习 目 
标 包括 : 

(1) 演练 “国家 网 络 事件 应 急 响 应 计划 ”(National Cyber Incident Response 
Plan, NCIRP); 

(2) 针对 网 络 事件 ,明确 国土 安全 部 的 整体 职责 .角色 ; 

(3) 演练 跨 机 构 间 的 信息 共享 事务 ; 

(4) 演练 跨 机 构 间 的 行政 .技术 协调 事务 。 


3. 演习 范围 及 场景 


本 次 演习 范围 主要 设 定 在 电力 、 水 利 、 银 行 等 关键 基础 设施 领域 ,与 前 两 次 
演习 不 同 的 是 ,本 次 演习 没有 在 搭建 好 的 虚拟 网 络 环境 中 进行 ,而 是 首次 在 真实 
的 国际 互联 网 环境 下 按照 国家 网 络 事 件 应 急 响 应 计划 进行 的 。 

由 于 可 信 的 网 络 环境 是 依赖 于 域名 解析 系统 和 证 书 授权 中 心 的 ,因此 ,这 两 
者 往往 会 成 为 攻击 者 的 攻击 对 象 。 演 习 参 与 者 需要 演练 如 何 针对 域名 解析 系统 
和 证 书 授权 中 心 被 攻破 后 所 带 来 的 一 系列 安全 攻击 。 本 次 演习 场景 包括 : 

(1) 互联 网 更 新 服务 被 攻陷 场景 , 即 攻击 者 通过 攻陷 信息 系统 和 通信 系统 
来 “接管 ”供应 商 的 更 新 服务 ,将 恶意 软件 或 病毒 通过 更 新 或 补丁 包 的 形式 迅速 
扩散 传播 出 去 ,以 此 来 感染 或 攻击 更 多 的 设备 或 系统 。 
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(2) 能 源 管理 系统 (Energy Management System,EMS) 被 攻陷 场景 , 即 攻 
击 者 通过 逻辑 炸弹 病毒 的 形式 来 感染 能 源 管理 系统 。 

(3) 化 学 和 交通 运输 场景 , 即 攻击 者 通过 攻击 订单 管理 系统 和 客户 服务 网 
站 来 干扰 化 学 物品 的 正常 生产 和 运输 。 

(4) 联邦 政府 场景 , 即 攻击 者 通过 分 布 式 拒绝 服务 攻击 来 阻碍 联邦 政府 正 
常 网 络 功能 ,并 发 布 虚假 信息 来 干扰 政府 正常 工作 。 

(5) 国际 场景 , 即 攻击 者 攻击 澳大利亚 的 金融 .能 源 、 交 通 运输 .水利 等 行业 
的 网 络 系统 ,并 通过 恶意 软件 来 攻击 加 拿 大 的 网 站 和 电信 企业 。 

(6) 国防 部 人 侵 场 景 , 即 模拟 一 个 国防 部 员工 不 遵守 规定 ,将 感染 了 病毒 的 
笔记 本 接 人 国防 部 内 部 网 络 , 从 而 导致 国防 部 访问 节点 瘫痪 的 场景 。 

(7) 公共 事务 场景 , 即 随 着 攻击 的 深入 ,攻击 者 大 肆 对 安全 事件 进行 公众 报 
道 ,进而 引起 民众 的 恐慌 。 

(8) 州 政府 场景 , 即 模拟 攻击 者 试图 中 断 政府 服务 ,并 尝试 获取 州 政府 敏感 
信息 的 场景 。 


4. 演习 成 果 


本 次 演习 在 演习 规划 和 执行 ,演习 后 的 总 结 等 过 程 中 收集 攻防 、 应 急 响应 操 
作 等 信息 ,取得 了 5 个 显著 成 果 。 

(1) NCIRP 检验 结果 

NCIRP 提供 了 一 种 适用 于 网 络 安全 事件 响应 的 合理 框架 ,但 是 该 框架 中 的 
操作 流程 .组织 角 色 和 职责 仍 不 成 熟 , 有 待 于 改进 和 完善 。 为 了 能 够 更 好 地 服务 
于 国家 层面 的 网 络 安 全 事件 应 急 响应 , NCIRP 需要 考虑 将 标准 操作 流程 规范 、 
应 急 响 应 社区 或 组 织 的 潜在 应 急 操作 理念 及 合作 伙伴 的 操作 流程 等 因素 集成 起 来 。 

(2) 不 同 组 织 间 的 协调 合作 

由 于 演习 参与 者 明白 了 合作 对 于 双方 都 是 有 利 的 ,因此 ,与 网 络 风暴 工 和 工 
相 比 ,在 网 络 风暴 了 中 ,公共 和 私营 部 门 之 间 的 协调 合作 有 了 和 较 大 改进 。 联 邦 政 
府 、 系 统 所 有 者 和 运营 商 之 间 相 互 理解 信任 ,在 应 对 重大 的 网 络 安全 事件 时 , 明 
确 了 各 自 的 角色 和 职责 ,这 些 都 有 利 促进 了 公共 和 私营 部 门 的 信息 共享 和 协调 
合作 。 

(3) 安全 态势 感知 

为 了 应 对 重大 安全 事件 ,演习 发 现 , 相 关 部 门 必 须 建立 .发展 和 推广 一 个 共 
享 的 安全 态势 感知 系统 。 从 “网 络 风暴 ” 工 到 焉 ,网 络 安全 应 急 响 应 社区 在 共享 
安全 态势 感知 方面 已 经 获得 了 显著 进步 。 


(4). 国家 网 络 风险 预警 等 级 

国家 网 络 风 险 预警 等 级 (National Cyber Risk Alert Level. NCRALO E E [S] 
络 安全 预警 网络 安全 应 急 决 策 .安全 事件 信息 共享 和 网 络 事件 管理 等 方面 为 网 
络 安全 应 急 响 应 共同 体 给 出 详细 的 等 级 划分 。 为 了 提高 NCRAL 的 有 效 性 , 必 
须 进 一 步 明 确 如 何 设计 警告 级 别 变化 的 冰 值 ,风险 等 级 变化 后 如 何 进 行 有 效 的 
沟通 和 信息 传递 等 工作 。 

(5) 公开 的 网 络 安全 报告 

政府 .私营 部 门 和 公众 依赖 于 沟通 途径 和 工具 来 及 时 地 交换 信息 ,处 理 网 络 
和 系统 威胁 问题 。 沟 通 的 内 容 和 时 效 性 是 同等 重要 的 。 因 此 ,在 发 生 重大 网 络 
安全 事件 时 ,及 时 地 向 公众 发 布 网 络 安全 报告 ,不 仅 可 以 帮助 不 同 组 织 之 间 协 调 
合作 ,而 且 还 可 以 有 效 地 稳定 民心 。 


小 结 :“ 网 络 风暴 焉 ?为 检验 国家 网 络 安全 应 急 响 应 机 构 的 能 力 提供 了 一 个 
真实 的 网 络 环境 。 国 土 安全 部 和 其 他 参与 单位 一 起 协同 合作 ,制定 演习 目标 ,并 
根据 既定 目标 设计 了 相应 的 演习 场景 。 本 次 演习 为 网 络 安全 应 急 响应 共同 体检 
验 自身 网 络 安 全 预警 和 应 急 处 理 等 方面 的 能 力 提供 了 条 件 , 在 国家 、 州 行业 和 
组 织 不 同 层面 取得 了 显著 成 果 。 


2.2.4 MAARN 
1. 基本 情况 


。 演习 时 间 :2011. 11—2014. 1 

组 织 单位 :国土 安全 部 国家 网 络 安 全 局 

。 演习 目的 :检验 美国 联邦 政府 、 州 .私营 部 门 及 国际 组 织 的 网 络 安 全 事件 
应 急 响 应 协调 ,信息 共享 ,安全 态势 感知 和 决策 的 能 力 。 

参 演 方 :11 个 国家 、14 个 联邦 部 门 、16 个 州 政府 .24 个 网 络 安全 应 急 协 
调 部 门 和 网 络 中 心 , 共 计 约 1250 人 。 

演习 场所 :指挥 部 设 在 华盛顿 。 


2. 演习 目标 


本 次 演习 的 主要 目标 是 : 
(1) 参照 国家 网 络 安全 事件 响应 计划 草案 ,进一步 演练 网 络 安全 事件 处 理 
流程 ,不 同 部 门 之 间 的 交互 过 程 ,以 及 信息 共享 机 制 ; 
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(2) 明确 和 检验 国土 安全 部 及 其 相关 部 门 在 网 络 安全 事件 中 扮演 的 角色 和 
承担 的 职责 ; 

(3) 检验 美国 联邦 政府 、 州 .私营 部 门 及 国际 组 织 的 网 络 安 全 事件 应 急 响 应 
协调 ,信息 共享 安全 态势 感知 和 决策 等 方面 的 能 力 中 。 


3. 演习 范围 及 内 容 


在 2011 年 11 月 到 2014 年 1 月 期 间 ， 网络 风 暴 "系列 演习 组 织 开 展 了 15 
个 演习 项 目 。 这 些 项 目 包括 小 型 研讨 会 , 州 级 演练 和 大 型 演练 三 种 。 本 次 演习 
主要 演练 预防 安全 事件 .保护 设 备 和 系统 、 消 除 安全 攻击 、 响 应 安全 事件 和 从 安 
全 事件 中 应 急 恢复 。 具 体 演练 内 容 涉及 三 个 应 急 响 应 操作 , 即 设 定安 全 攻击 指 
标 、 确 认 安 全 攻击 是 否 发 生 和 修复 安全 问题 。 演 习 参 与 者 首先 对 安全 攻击 事件 
的 标志 和 安全 警告 信息 进行 识别 判断 ,然后 综合 评估 以 确定 安全 攻击 事件 是 否 
发 生 , 最 后 分 析 应 该 采取 哪些 安全 机 制 来 响应 .修复 此 类 攻击 事件 所 导致 的 安全 
问题 。 本 次 演习 内 容 见 表 2-1. 

表 2-1 网 络 风暴 W 当中 的 演习 项 目 一 览 表 
演习 项 目 事件 备注 


国家 网 络 事件 应 急 
响应 计划 (The National 
Cyber Incident Response 

Plan, NCIRP) 


大 规模 ,基于 操作 的 训练 ;分 布 式 演习 ;模拟 召 
2011.11 开 统 一 协调 小 组 (Unified Coordination Group. 
UCG) 的 职工 和 专家 会 议 


小 规模 研讨 会 ;审阅 、 分 析 之 前 网 络 演习 的 成 果 
网 络 中 心 董事 的 研讨 会 2011.12 | 和 相关 网 络 安全 应 急 响 应 标准 操作 流程 ,并 制 
定 今后 的 改进 和 发 展 计 划 


基于 NCIRP, 拓 展 安全 事件 范围 .改进 标准 操 


公共 事务 桌面 演习 -1 2012 | 作 流程 的 小 规模 研讨 会 
ji N jx 


支持 网 络 安全 政策 发 展 , 为 未 来 的 网 络 风暴 及 


缅 因 州 演习 2012.2 | 相关 演习 做 准备 工作 


大 规模 ,分 布 式 演习 ;建成 多 州 联合 的 信息 共享 
国家 网 络 协调 演习 2012. 2 与 分 析 中 心 (Multi-State Information Sharing &- 
Analysis Center, MS-ISAC) 


基于 NCIRP, 拓 展 安全 事件 范围 .改进 标准 操 


AN th Be 面 演习 - 
公共 事务 桌面 演习 -2 2012.3 作 流程 的 小 规模 研讨 会 
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BR 
演习 项 目 事件 备注 
参议 院 网 络 安全 — 根据 当前 立法 现状 ,对 于 针对 电网 的 攻击 进行 
桌面 演习 ` 讨论 及 演练 
"- 200 支持 网 络 安全 政策 发 展 ,为 未 来 的 网 络 风暴 及 
AR px I 13 2 2012.5 相关 演习 做 准备 工作 
支持 网 络 安全 政策 发 展 , 为 未 来 的 网 络 风 暴 及 
A , x 
华盛顿 州 演习 2012.8 相关 演习 做 准备 工作 
支持 网 络 安全 政策 发 展 , 为 未 来 的 网 络 风 暴 及 
Vs fay 4 3j i 
爱 达 荷 州 演习 2012. 10 MMI WORE THE 
示 观 察 E 
eina uf 大 规模 .分 布 式 演练 及 讨论 ;审阅 IWWN 的 党 
. a 2013.3 规 计 划 .安全 应 急 响 应 标准 操作 流程 .政策 及 
Warning Network. IWWN) 权限 
演习 
支持 网 络 安全 政策 发 展 ,为 未 来 的 网 络 风 暴 及 
密苏里 州 演习 2013.6 相关 演习 做 准备 工作 
Daes 支持 网 络 安全 政策 发 展 ,为 未 来 的 网 络 风暴 及 
密西西比 州 演习 2013.6 相关 演习 做 准备 工作 
大 规模 、 分 布 式 演练 ,在 地 方 层面 观察 .评价 遭 
Evergreen 演习 2013. 11 受 网 络 攻击 的 基础 设施 ;内 部 交流 国家 安全 事 
件 信息 共享 与 安全 问题 修复 方式 
支持 网 络 安全 政策 发 展 ,为 未 来 的 网 络 风 暴 及 
4E 3k ML TES 2014.1 
ener E 相关 演习 做 准备 工作 
4. 演习 成 果 


本 系列 演习 历时 四 年 多 ,取得 的 主要 成 果 如 下 : 
(1) 创建 了 一 个 论坛 ,为 参与 国家 、 政 府 机 构 、 国 际 合 作 伙 伴 和 其 他 组 织 马 
个 人 提供 评估 网 络 事件 响应 能 力 的 服务 。 


(2) 讨论 并 确定 了 一 个 规定 , 即 允 许 网 络 安全 检查 部 门 对 各 州 政府 和 网 络 


中 心 等 特定 的 利益 相关 者 群体 ,进行 深入 的 网 络 安全 检查 。 


G) 从 当地 到 联邦 各 层面 ,深入 分 析 了 网 络 安全 问题 ,确定 了 重大 网 络 事件 


中 的 资源 分 配 过 程 和 联邦 应 急 响应 部 门 职能 。 
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(4) 对 之 前 很 少 或 根本 没有 参与 网 络 训练 的 州 进 行 训练 ,提升 他 们 的 网 络 
安全 应 急 响应 能 力 ,帮助 确定 其 今后 改进 的 方向 ,将 提升 这 些 州 的 网 络 安 全 应 急 
响应 能 力 的 任务 整合 到 国家 网 络 安全 与 通信 集成 中 心 工作 规划 中 。 

(5) 加 强 联邦 政府 有 效 可 用 资源 的 协调 和 整合 ,应 对 或 减轻 网 络 安全 事件 
的 负面 影响 。 

(6) 将 新 的 利益 相关 者 整合 到 网 络 风暴 演习 社区 中 来 ,为 其 提供 参加 网 络 
风暴 演习 的 机 会 。 在 国内 和 国际 更 大 范围 内 ,为 利益 相关 者 提供 培训 的 机 会 。 

(7) 对 网 络 事件 进行 模拟 ,分 析 响 应 协议 与 网 络 响应 计划 ,分 析 并 找到 这 些 
协议 和 计划 在 信息 共享 、 响 应 流程 和 资源 分 配 等 方面 需要 改进 的 地 方 。 

(8) 促进 发 展 了 国土 安全 部 NCCIC 和 网 络 风暴 演习 利益 相关 者 之 间 的 长 
期 深入 合作 伙伴 关系 。 


小 结 :“ 网 络 风暴 入 ”演习 专门 开展 了 小 型 研讨 会 、 州 级 演练 和 大 型 演练 等 
不 同 规 模 的 演习 ,以 此 来 检验 不 同 演 习 对 象 的 应 急 响应 能 力 。 本 次 演习 也 进 一 
步 明确 了 国土 安全 部 和 国家 网 络 安 全 通信 整合 中 心 的 角色 和 职责 ,再 次 巩固 了 
国土 安全 部 和 其 他 演习 参与 者 之 间 的 合作 关系 。“ 网 络 风暴 ?演习 是 一 个 可 持续 
性 很 强 的 项 目 。 每 一 届 演 习 的 成 果 和 经 验 教训 都 会 为 下 一 次 演习 提供 指导 意 
见 。“ 网 络 风暴 入 ”的 成 果 和 发 现 就 可 作为 “网 络 风暴 V ”继续 发 展 的 基石 。 例 
如 ,在 本 次 演习 中 ,有 6 个 州 是 首次 参与 演习 ,这 些 州 在 演习 中 学 习 积 累 的 经 验 
就 为 他 们 参加 下 一 次 演习 提供 了 有 力 的 支持 。 此 外 ,本 次 演习 中 ,联邦 政府 辅佐 
州 、. 地 方 政府 及 联邦 应 急 响 应 机 构 的 演练 ,也 会 成 为 下 一 届 的 演习 重点 内 容 。 


2.2.5 网 络 风 暴 V 
1 基本 情况 


。 演习 时 间 : 2016. 3. 7 一 2016. 3. 11 

组 织 单位 : 国土 安全 部 国家 网 络 安全 局 

演习 目的 : 检验 美国 联邦 政府 、 州 私营 部 门 及 国际 组 织 的 网 络 安全 事件 
应 急 响 应 协调 ,信息 共享 ,安全 态势 感知 和 应 急 决策 的 能 力 。 

参 演 方 : 9 个 内 阁 部 门 、8 个 州 政府 、12 个 国际 合作 伙伴 ,70 个 私营 企业 
和 组 织 协 调 单位 。 这 些 企业 单位 所 处 行业 主要 集中 在 信息 系统 、 通 信 、 
医疗 /公共 卫生 和 零售 业 商 业 设 施 等 关键 基础 设施 行业 。 演 习 参 与 者 共 
计 约 1200 多 人 。 

演习 场所 : 指挥 部 设 在 华盛顿 。 


2. 演习 目标 


本 次 演习 的 目的 是 ,针对 关键 基础 设施 的 跨行 业 协 同 网 络 攻击 ,通过 演练 应 
急 响 应 政策 .操作 流程 等 来 加 强 网 络 安全 事件 的 防范 和 应 对 能 力 。 具 体 演 习 目 
标 包括 : 

(1) 持续 地 改进 和 完善 网 络 安全 事件 应 急 响 应 协调 机 制 ,安全 事件 信息 和 
安全 态势 共享 机 制 ,安全 事件 应 急 决策 流程 ; 

(2) 评估 、 找 出 影响 网 络 安全 事件 应 急 响 应 资源 优化 分 配 的 相关 政策 ,法规 
等 因素 ; 

(3) 为 演习 参与 者 提供 一 个 用 于 演练 .评估 和 改进 应 急 响应 流程 和 信息 共 
享 机 制 的 交流 论坛 ; 

(4) 分 析 、 评 定 国 土 安全 部 及 其 他 政府 部 门 在 网 络 安全 事件 中 所 应 扮演 的 
角色 和 职责 ""]。 


3. 演习 范围 


演习 中 的 攻击 方 利用 互联 网 常用 协议 和 服务 的 安全 漏洞 来 发 起 网 络 攻击 。 
演习 中 攻击 的 目标 协议 和 服务 包括 :网 络 路 由 协议 ,域名 解析 协议 , 公 钥 基础 设 
施 服务 。 攻 击 目标 系统 涉及 企业 和 政府 系统 、 医 疗 设备 和 支付 系统 。 


4. 演习 成 果 


基于 演习 参与 者 的 反馈 信息 和 演习 计划 制定 组 在 计划 制定 、 执 行 及 事后 分 
析 过 程 中 记录 的 信息 ,本 次 演习 取得 了 4 个 成 果 。 

(1) 国家 网 络 事件 响应 计划 有 竺 完善 

虽然 演习 参与 者 可 以 按照 国际 和 国内 制定 的 政策 和 流程 ,协调 合作 机 制 来 
进行 应 急 响 应 演练 ,但 是 演习 者 仍 需 要 进一步 完善 国家 网 络 事件 响应 计划 框架 。 
例如 ,演习 者 缺少 一 种 用 于 在 国家 层面 来 指导 演习 者 进行 网 络 安全 应 急 响 应 的 
框架 。 演 习 者 们 尤其 缺乏 一 种 在 大 规模 安全 事件 发 生 时 的 快速 应 急 决策 和 修复 
的 策略 。 此 外 ,在 本 次 演习 中 ,演习 管理 者 发 现 安全 事件 信息 和 安全 报告 中 缺少 
对 安全 攻击 影响 评估 的 描述 。 即 当 演 习 者 提供 安全 报告 时 ,他 们 并 没有 对 安全 
影响 进行 量化 评估 ,所 以 很 难 对 安全 事件 影响 有 较为 清晰 的 理解 。 

(2) 安全 事件 信息 及 时 共享 机 制 仍 面临 挑战 

在 “网 络 风暴 V” 中 ,演习 参与 者 发 现 安全 事件 信息 共享 的 延迟 也 会 影响 安 
全 态势 感知 。 在 演习 中 ,大 多 数组 织 都 要 等 安全 事件 信息 被 完全 证 实 以 后 才 会 


a 
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发 布 出 去 。 这 在 一 定 程度 上 延缓 了 安全 事件 信息 的 共享 速度 。 在 某 些 情况 下 ， 
即使 一 些 信息 的 真实 有 效 性 不 能 得 到 完全 确认 ,这 种 信息 在 一 定 程度 上 也 是 可 
以 为 相关 人 员 提 供 一 些 有 用 信息 的 。 此 时 ,发 布 这 种 信息 的 组 织 只 要 注意 标明 
此 类 信息 是 未 经 完全 验证 的 即 可 。 

在 演习 中 ,许多 演习 参与 者 表示 他 们 对 于 如 何 区 分 哪些 信息 是 应 该 与 他 人 
共享 的 ,以 及 如 何 设 定 与 他 人 信息 共享 的 程度 等 问题 缺乏 一 个 明确 的 理解 。 这 
也 就 导致 演习 参与 者 往往 更 愿意 在 其 结构 内 部 分 享 安 全 事件 信息 ,而 不 愿意 过 
多 地 与 外 界 进 行 交 流 沟通 。 因 此 ,这 在 一 定 程度 上 阻碍 了 信息 的 流通 和 传播 速 
度 。 此 外 ,在 缺少 有 效 信息 沟通 的 情况 下 ,不 同 组 织 分 别 采 取 独 立 的 处 理 措 施 来 
应 对 安全 威胁 和 攻击 ,这 势必 会 导致 安全 事件 信息 不 对 称 或 安全 应 急 响 应 步调 
不 一 致 的 后 果 。 

(3) NCCIC 在 信息 共享 过 程 中 的 重要 性 更 加 突出 

本 次 演习 证 明了 NCCIC 正在 逐步 向 国土 安全 部 和 US-CERT 看 齐 , 在 安全 
事件 信息 和 安全 态势 共享 方面 的 角色 越 来 越 重要 。NCCIC 和 国土 安全 部 也 在 
努力 承担 安全 信息 和 态势 共享 的 责任 ,并 改进 相关 操作 流程 。 

(4) 医疗 /公共 卫生 和 零售 行业 首次 参 演 成 果 

第 一 次 参加 “网 络 风暴 ”演习 的 医疗 /公共 卫生 和 零售 行业 的 参与 者 ,发 现 了 
不 同行 业 之 间 开 展 安全 事件 信息 共享 的 重要 性 。 演 习 还 发 现 ,这 两 个 行业 可 以 
与 其 他 在 网 络 安全 应 急 响应 方面 处 于 领先 地 位 的 能 源 、 交 通 等 行业 合作 ,以 此 来 
更 好 地 提升 自身 的 网 络 安全 应 急 能 力 和 信息 共享 能 力 。 


小 结 :“ 网 络 风暴 V ”演习 提供 了 一 个 演练 国家 网 络 安全 应 急 响 应 能 力 的 平 
台 。 国 土 安全 部 和 其 他 参 演 单位 一 起 紧密 合作 ,根据 设 定 的 演习 目标 来 设计 具 
体 演习 场景 。 这 些 演习 场景 拟定 了 国际 级 规模 的 网 络 安 全 事件 。 本 次 演习 在 国 
家 、 州 行业 和 组 织 等 不 同 层面 ,都 检验 了 相关 单位 的 网 络 安全 预案 ,发 现 了 安全 
问题 ,提高 了 应 急 响 应 能 力 ,取得 了 显著 的 演习 成 果 。 


2.3 工业 控制 系统 网 络 应 急 响应 小 组 


如 图 2-2 所 示 , 隶属 于 国土 安全 部 的 国家 保护 与 计划 司 的 网 络 安全 与 通 
信和 办 公 室 (Office of Cybersecurity & Communications) JI M Z2 38b fii ZZ 2 
(Office of Emergency Communications, OEC) 利益 相关 者 参与 和 网 络 基础 设施 
可 恢复 部 门 (Stakeholder Engagement and Cyber Infrastructure Resilience. 
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SECIR)、 国 家 网 络 安 全 和 通信 整合 中 心 (National Cybersecurity and 
Communications Integration Center. NCCIC)、 联 邦 网 络 可 恢复 (Federal 
Network Resilience. FNR) 部门 和 网 络 安全 部 署 (Network Security 
Deployment, NSD) 部 门 。 

NCCIC 包括 NCCIC 运营 和 集成 中 心 (NCCIC Operations & Integration, 
NO&D .美国 电脑 警备 小 组 (United States Computer Emergency Readiness 
Team,US-CERT)、 工 业 控 制 系统 网 络 应 急 响 应 小 组 C Industrial Control 
Systems Cybersecurity Emergency Response Team) 和 国家 通信 协调 中 心 
(National Coordinating Center for Communications, NCC) 四 个 分 支 。 其 中 ICS- 
CERT 是 NCCIC 的 一 个 专门 用 于 工业 控制 系统 网 络 应 急 响应 的 重要 组 成 部 分 。 
ICS-CERT 协调 联邦 、 州 .地方 .部落 和 特区 政府 的 合作 关系 ,提高 国家 整体 网 络 
安全 应 急 响应 能 力 。ICS-CERT 与 NO&I、US-CERT、NCC 及 其 他 国际 和 私营 
部 门 的 网 络 应 急 响 应 小 组 (CERTs) 一 起 合作 ,积极 分 享 工控 系统 相关 安全 事件 
和 应 对 措施 ,以 此 来 降低 关键 基础 设施 的 网 络 安全 风险 。 


美国 国土 安全 部 
国家 保护 与 计划 司 
MARA SINA 
i Ec Bina dri — HA SGH 
L = I I 1 
BERENA 美国 电脑 警备 小 组 | THER AGES) | 国家 通信 协调 中 心 


图 2-2 工业 控制 系统 应 急 响应 小 组 在 国土 安全 部 隶属 关系 图 


2.3.1 主要 职责 


ICS-CERT 的 主要 职责 分 为 三 类 : 

(1) 通过 分 析 、 响 应 控制 系统 安全 事件 ,提高 政府 和 工业 界 对 国家 关键 基础 
设施 控制 系统 的 安全 态势 感知 能 力 ,并 不 断 提供 信息 安全 培训 ,帮助 这 些 单位 更 
好 地 理解 工控 系统 的 安全 风险 ; 

(2) 协调 联邦 、 州 、 地 方 政府 ,情报 机 构 ,控制 系统 厂商 .拥有 者 和 操作 者 、 国 
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际 网 络 应 急 响应 小 组 等 组 织 之 间 的 控制 系统 网 络 安全 事件 信息 共享 工作 ,促进 
组 织 之 间 对 安全 事件 信息 的 沟通 与 交流 ,提高 现场 安全 事件 的 响应 能 力 ; 

(3) 通过 分 析 控 制 系统 脆弱 性 、 识 别 恶 意 软件 ,检查 验证 和 潜在 风险 分 析 、 
漏洞 报告 分 析 和 发 布 以 及 对 工控 系统 的 检查 评估 工作 来 帮助 控制 系统 厂商 和 拥 
有 者 /运营 者 发 现 系 统 脆 弱 性 和 高 危 的 漏洞 和 风险 并 以 此 制定 控制 系统 安全 策 
略 , 研 发 安全 解决 方案 。 以 下 是 对 这 三 类 职责 的 详细 阐述 。 


1. 提高 国家 网 络 安全 态势 感知 能 力 


ICS-CERT 作为 国土 安全 部 制定 控制 系统 安全 策略 的 重要 参与 单位 ,为 了 
实现 有 效 的 控制 系统 安全 风险 管理 ,提高 国家 控制 系统 网 络 安全 态势 感知 能 力 ， 
ICS-CERT 致力 于 以 下 工作 : 

(1) 分 析 和 响应 与 控制 系统 相关 的 网 络 安全 事件 ; 

(2) 分 析 系 统 脆 弱 性 、 恶 意 软 件 和 数字 媒介 ; 

(3) 提供 在 线 网 络 安全 事件 响应 服务 s 

(4) 提供 可 直接 为 安全 防御 提供 可 操作 指令 的 技术 层面 和 战略 层面 的 
THAR ; 

(5) 报道 控制 系统 脆弱 性 问题 ,提供 相应 的 安全 解决 方案 ; 

(6) 基于 信息 安全 产品 和 安全 预警 信息 ,共享 和 协调 系统 脆弱 性 和 安全 威 
胁 信息 。 

ICS-CERT 在 实现 国土 安全 部 所 制定 的 控制 系统 安全 策略 中 ,关于 参与 者 
范围 .信息 共享 方式 、 创 建安 全 联盟 等 方面 ,形成 了 一 个 共同 愿景 。 此 外 ICS- 
CERT 还 努力 增进 工业 控制 系统 的 利益 相关 者 与 政府 和 私营 企业 之 间 的 协同 合 
作 关 系 , 提 高 网 络 安全 态势 感知 能 力 ,降低 关键 基础 设施 所 有 行业 的 网 络 安全 
风险 。 


2. 现场 安全 事件 响应 


当 收 到 用 户 的 网 络 安全 事件 通知 后 ,ICS-CERT 就 会 马上 实施 通过 先进 分 
析 实 验 室 (Advanced Analytical Laboratory,AAL) 提 供 的 恶意 软件 .登录 文件 、 
硬盘 等 分 析 功 能 进行 网 络 安全 诊断 ,以 此 来 决定 安全 攻击 所 带 来 的 危害 。 对 于 
那些 需要 对 网 络 攻击 进行 及 时 分 析 和 消除 的 控制 系统 用 户 ,ICS-CERT 可 以 为 
其 免费 提供 现场 安全 事件 响应 服务 。ICS-CERT 可 以 检查 受 攻击 的 控制 系统 网 
络 拓扑 , 筛 查 出 受 感染 的 设备 ,收集 必要 的 数据 来 帮助 分 析 网 络 攻击 ,提供 攻击 
消除 策略 和 网 络 、 系 统 安全 防护 建议 。 


3. 系统 脆弱 性 问题 处 理 


开展 系统 安全 防范 的 首要 工作 就 是 要 及 时 找到 并 消除 系统 潜在 的 脆弱 性 问 
题 ,以 此 来 降低 那些 针对 国家 关键 基础 设施 的 网 络 攻击 成 功 实 施 的 概率 。 在 处 
理 系 统 脆弱 性 问题 中 ,ICS-CERT 与 联邦 、 州 地方、 部 落 政府 等 公共 部 门 ,工业 
控制 系统 拥有 者 .运营 者 和 厂商 等 私营 部 门 一 起 合作 ,通过 检测 系统 和 收集 信 
AX .分析 问题 .协调 制定 脆弱 性 消除 措施 .应 用 脆弱 性 消除 措施 ,信息 报道 5 个 步 
又 来 应 对 系统 脆弱 性 问题 。 在 最 后 的 信息 报道 环节 中 ,ICS-CERT 会 通过 发 布 
安全 漏洞 报告 和 安全 建议 的 形式 来 将 系统 脆弱 性 问题 通知 给 控制 系统 的 用 户 。 
ICS-CERT 通过 邮件 和 电话 的 形式 征集 控制 系统 安全 漏洞 和 脆弱 性 问题 ,目前 
已 形成 了 800 多 份 安全 漏洞 警告 报告 和 安全 建议 报告 。 此 外 , 近 几 年 ,除了 在 平 
时 不 定期 地 发 布 与 工业 控制 系统 相关 的 安全 事件 ,漏洞 报告 及 安全 建议 以 外 ,每 
年 都 会 定期 发 布 一 份 当 年 的 网 络 安全 报告 ,统计 汇总 分 析 每 年 的 安全 事件 发 展 


2.3.2 2009 年 度 网 络 安全 报告 


2009 年 10 月 ,ICS-CERT 发 布 了 (利用 纵深 防御 策略 加 强 工 业 控制 系统 》 网 
络 安全 报告 中 。 本 报告 指出 ,工业 控制 系统 是 关键 基础 设施 不 可 或 缺 的 核心 系 
统 。 日 益 严 峻 的 网 络 安 全 问题 及 其 对 工业 控制 系统 的 影响 已 经 给 关键 基础 设施 
造成 了 重大 安全 威胁 。 为 了 解决 工业 控制 系统 的 网 络 安全 问题 ,相关 人 员 需 要 
对 系统 面临 的 网 络 安全 挑战 有 一 个 清晰 的 认识 ,并 掌握 对 应 的 防护 措施 。 本 报 
告 主要 介绍 了 目前 主流 工业 控制 系统 架构 ,工业 控制 系统 面临 的 安全 挑战 问题 ， 
纵深 防御 框架 ,安全 防护 措施 等 内 容 。 其 中 ,针对 工业 控制 系统 面临 的 安全 威胁 ， 
本 报告 提出 了 一 种 纵深 防御 防护 框架 ,以 此 来 增强 系统 抵抗 网 络 攻击 的 能 力 。 


l. 目前 主流 工业 控制 系统 架构 


图 2-3 给 出 了 企业 网 和 控制 网 隔离 的 传统 架构 。 企 业 网 CCorporate LAN) 
和 控制 网 (Control system LAN) 物 理 隔 离 ,企业 网 与 互联 网 之 间 通 过 VPN 连 
接 , 并 设置 防火 墙 进行 防护 。 

随 着 控制 系统 的 发 展 ,通信 协议 逐渐 网 络 化 ,网 络 架构 逐渐 开放 化 ,因此 , 目 
前 主流 的 工业 控制 系统 架构 发 展 成 了 如 图 2-4 所 示 的 企业 网 和 控制 网 融合 架 
构 。 控 制 网 不 仅 与 企业 网 之 间 有 网 络 连接 ,而 且 还 可 以 直接 访问 厂商 网 站 和 互 
联网 。 
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图 2-3 企业 网 和 控制 网 隔离 的 传统 架构 (来 源 : 文献 [8] Figure D 
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图 2-4 企业 网 和 控制 网 融合 的 主流 架构 (来 源 : 文献 [8] Figure 2) 


2. 工控 系统 安全 问题 


随 着 控制 网 和 企业 网 等 网 络 的 互联 互通 ,工业 控制 系统 面临 着 一 系列 网 络 
安全 威胁 和 系统 脆弱 性 等 问题 。 例 如 : 
在 网 络 边界 预 留 的 后 门 ; 
设备 或 通信 协议 缺乏 安全 防护 措施 ; 
通用 协议 存在 脆弱 性 ; 
针对 现场 控制 设备 发 起 的 攻击 ; 
数据 库 攻击 ; 
对 网 络 通信 发 起 的 窃听 攻击 和 中 间 人 攻击 ; 
软件 和 固件 存在 的 不 兼容 性 问题 , 打 补 丁 修 复 操作 不 恰当 ; 
不 安全 的 编码 技术 ; 
内 部 和 外 部 人 员 存 在 不 恰当 的 网 络 安全 操作 ; 
缺乏 专门 适用 于 控制 系统 的 网 络 安 全 技术 。 

理解 这 些 系统 和 网 络 存在 的 脆弱 性 问题 及 相关 的 攻击 向 量 , 对 于 建立 有 效 
的 安全 应 对 策略 来 说 是 至 关 重 要 的 。 

3. 纵深 防御 框架 

本 报告 提出 的 纵深 防御 框架 主要 包括 网 络 纵深 防御 策略 .系统 脆弱 性 分 层 
防御 框架 .安全 分 区 防火墙、 隔离 区 和 入 侵 检测 等 因素 。 

(1) 网 络 纵深 防御 策略 

从 纵深 防御 的 技术 角度 看 ,网 络 安全 除了 部 署 专用 技术 来 抵制 特定 风险 以 
外 ,还 需要 整合 公司 的 所 有 资源 进行 整体 考虑 ,在 不 同 层 面 上 提供 一 个 有 效 的 完 
整 保护 。 图 2-5 展示 了 网 络 纵深 防御 策略 关键 元 素 的 总 体 视图 。 该 框架 包含 6 
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FAN 
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| 


企业 特定 控制 
图 2-5 网 络 纵深 防御 策略 
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个 基本 原则 :了 解 组 织 面临 的 安全 风险 ;定性 和 定量 地 分 析 风 险 ; 使 用 关键 安全 
资源 来 降低 安全 风险 ;定义 每 个 资源 的 核心 竞争 力 并 识别 重复 区 域 ;遵守 现 有 的 
或 者 新 出 现 的 安全 工业 控制 标准 ;定制 满足 工业 控制 系统 特殊 需求 的 防御 机 制 。 

(2) 系统 脆弱 性 分 层 防御 框架 

如 前 所 述 ,工业 控制 系统 网 络 目前 面临 的 攻击 包括 :外 围 网 络 安全 缺陷 、 基 
于 通用 协议 的 攻击 、 通 过 现场 设备 发 起 的 攻击 .数据 库 及 SQL 注入 攻击 .中间人 
攻击 .漏洞 修补 不 及 时 、 编 码 方法 不 安全 、 网 络 安全 操作 流程 不 规范 .控制 系统 缺 
乏 专 用 安全 技术 。 针 对 这 些 网 络 攻击 ,ICS-CSRT 从 运营 层面 、 网 络 层面 、 主 机 
层面 以 及 安全 风险 方面 给 出 了 系统 分 层 防御 框架 中 ,如 图 2-6 所 示 。 


安全 策略 和 程序 


在 软件 开发 过 程 
中 的 缓冲 区 溢出 


安全 编程 技术 


有 效 的 防火 墙 技术 
人 员 培 训 和 专家 意见 


图 2-6 系统 脆弱 性 分 层 防御 框架 (例如 缓冲 区 溢出 漏洞 ) 


(3) 安全 分 区 

进行 安全 分 区 主要 是 指 利用 单一 /多 宿 / 双 宿 / 级 联防 火 墙 \ 带 有 访问 控制 列 
表 的 路 由 器 .可 配置 的 交换 机 、 静 态 路 由 、 路 由 表 和 专用 通信 媒介 等 方式 来 对 整 
个 网 络 进行 切 分 ,分 成 不 同安 全 等 级 的 区 域 。 

清晰 理解 如 何 融 合 所 有 安全 技术 ,明确 所 有 互联 互通 网 络 的 边界 ,对 于 创建 
分 层 防御 系统 架构 来 说 是 至 关 重 要 的 。 创 建安 全 区 有 助 于 网 络 管理 者 对 网 络 创 
建 清晰 的 边界 划分 ,进而 促进 网 络 管理 者 分 层次 实施 安全 防御 措施 。 将 常见 控 
制 系统 网 络 架 构 进行 安全 分 区 可 以 有 效 帮 助 组 织 创建 清晰 的 网 络 边界 ,进而 针 
对 不 同 区 域 的 网 络 安全 威胁 ,运用 运营 、 网 络 、 主 机 和 安全 风险 不 同 层面 的 技术 
来 进行 防御 。 如 图 2-7 所 示 ,在 常见 工业 控制 系统 中 ,安全 区 域 可 以 划分 为 外 部 
域 . 企 业 域 . 生 产 / 数 据 域 . 设 备 域 . 安 全 域 。 

外 部 域 (external zone) 是 指 不 可 信 区 域 ,通常 是 指 外 连 到 互联 网 .远程 操作 
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图 2-7 通用 安全 分 区 (来 源 : 文献 [8] Figure 7) 


设施 或 设备 提供 商 网 络 。 在 工业 控制 系统 中 ,外 部 域 风 险 最 高 ,优先 级 最 低 。 

fis MI SX (corporate zone) 是 指 企业 网 络 通信 区 域 , 包 括 IT 业务 设备 和 系统 、 
邮件 和 DNS 等 网 络 服务 器 等 关键 通信 资源 。 由 于 企业 域 与 外 部 域 连接 ,因此 企 
业 域 也 将 面临 多 种 安全 风险 ,但 是 由 于 目前 企业 网 络 安全 防护 机 制 相对 成 熟 , 企 
业 域 与 外 部 域 相 比 ,其 安全 风险 低 于 外 部 域 ,优先 级 高 于 外 部 域 。 

生产 或 数据 域 (manufacturing/data zone) 是 连接 企业 域 和 设备 域 的 区 域 。 
生产 域 对 于 设备 域 网 络 和 设备 的 持续 正常 运转 来 说 是 非常 重要 的 。 因 此 ,生产 
域 拥 有 较 高 的 安全 优先 级 。 

控制 域 或 现场 域 (control/cell zone) 是 指 运 行 可 编程 逻辑 控制 器 
(Programmable Logic Controllers,PLC)、 人 机 界面 (Human Machine Interface. 
HMI) 、 执 行 器 和 传感器 等 工业 控制 设备 的 区 域 。 由 于 设备 域 的 功能 会 直接 影 
响 到 控制 设备 的 正常 运转 功能 ,所 以 设备 域 的 安全 优先 级 比 生产 域 还 要 高 。 在 
现代 控制 网 络 中 ,设备 域 设备 都 支持 TCP/IP 或 其 他 常见 控制 系统 通信 协议 。 

安全 域 (safety zone) 中 的 设备 由 于 拥有 自主 控制 该 区 域内 终端 设备 安全 等 
级 的 能 力 , 因 此 安全 域 中 的 设备 拥有 全 网 最 高 的 安全 优先 级 。 

(4) 防火 墙 

基于 图 2-7 的 分 区 ,网 络 管理 者 可 以 确定 区 域内 的 风险 级 别 , 进 而 可 以 选择 
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相应 的 防火 墙 和 其 他 一 些 网 络 防护 措施 来 进一步 实施 安全 防护 措施 。 防 火 墙 主 
要 包括 工作 于 网 络 层 的 包 过 滤 防 火 墙 工作 于 会 话 层 的 链 路 级 网 关 、 工 作 在 应 用 
层 的 代理 网 关 、 工 作 在 网 络 会 话 和 应 用 层 的 状态 检测 防火 墙 四 种 类 型 。 图 2-8 
展示 了 防火 墙 在 安全 分 区 框架 中 的 应 用 位 置 。 与 图 2-7 相 比 ,在 企业 域 和 外 部 
域 之 间 增 加 了 两 个 企业 防火 墙 ,在 企业 域 和 数据 域 之 间 添 加 了 两 个 控制 系统 防 
火 墙 ,在 控制 系统 局 域 网 与 外 部 VPN 网 络 之 间 部 署 了 两 个 控制 系统 防火 墙 ,在 
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图 2-8 用 防火 墙 来 保护 安全 分 区 (来 源 : 文献 [8] Figure 8) 


(5) 隔离 区 

当 网 络 中 部 署 了 防火 墙 以 后 ,外 部 网 络 的 访问 用 户 则 不 能 再 访问 内 部 网 络 
服务 器 了 ,因此 ,为 了 解决 这 个 问题 ,需要 在 企业 域 与 外 部 域 之 间 、 数 据 域 和 外 部 
VPN 网 络 之 间 ,分 别 建立 一 个 非 安 全 系统 与 安全 系统 之 间 的 缓冲 区 , 即 隔 离 区 
(demilitarized zone, DMZ)。 这 些 DMZ 区 一 般 是 通过 功能 以 及 访问 权限 进行 
划分 的 。 图 2-9 为 在 图 2-8 基础 上 添加 了 DMZ 的 鲁 棒 网 络 架 构 。 使 用 多 个 
DMZ 区 保护 信息 资源 是 非常 好 的 提高 网 络 态势 并 将 其 他 层 纳 入 到 深度 防御 策 
略 的 途径 。 

(6) 人 侵 检测 系统 

入 侵 检测 系统 主要 包括 基于 主机 和 基于 网 络 两 种 类 型 。 在 图 2-9 部 署 了 
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图 2-9 部 署 DMZ 的 框架 (来 源 : 文献 [8] Figure 9) 


DMZ 的 框架 基础 上 ,可 以 通过 部 署 基于 网 络 的 入 侵 检测 系统 ,来 识别 网 络 流量 、 
网 络 协议 的 异常 行为 。 通 过 部 署 基 于 主机 的 和 人 侵 检测 系统 ,来 识别 工控 设备 配 
置 操作 与 状态 等 方面 的 异常 行为 。 图 2-10 给 出 了 在 图 2-9 基础 上 增加 入 侵 检 
测 系 统 之 后 的 纵深 防御 完整 框架 。 图 中 的 “ 蓝 色 点 ”代表 基于 主机 的 入 侵 检测 系 
统 ,安全 事件 管理 系统 (Security Incident Event Management. SIEM) 代 表 基 于 
网 络 的 人 侵 检 测 系统 。 


4. 安全 防护 措施 


工业 控制 系统 的 5 类 重要 安全 防护 措施 包括 : 

(1) 安全 策略 

应 该 分 别 在 控制 系统 网 络 和 主机 及 组 件 层面 来 制定 和 实施 安全 策略 。 结 合 
系统 需要 的 安全 等 级 和 新 的 安全 威胁 等 因素 ,这 些 安全 策略 应 该 进行 周期 性 的 
更 新 和 审阅 ,不断 得 到 优化 和 改进 。 

(2) 阻 断 对 资源 和 服务 的 访问 

在 网 络 层面 ,通过 使 用 防火 墙 或 代理 服务 器 的 方式 来 控制 对 资源 和 服务 的 
访问 权限 。 在 主机 层面 ,通过 使 用 基于 主机 的 防火 墙 和 杀毒 软件 来 保护 主机 的 


美国 关键 基础 设施 安全 防护 体系 与 策略 


E 
Remote 
Operations & 
Facilities 


Remote Business 
Partners and 
Vendors 


图 2-10 部 署 了 入 侵 检 测 系统 后 的 纵深 防御 完整 框架 图 


资源 和 服务 免 遭 非 授 权 访问 。 

(3) 检测 恶意 行为 

有 经 验 的 管理 员 可 以 通过 定期 监控 分 析 日 志文 件 来 在 网 络 或 主机 层面 检测 
恶意 行为 。 人 和 人 侵 检测 系统 是 识别 网 络 恶意 行为 的 常用 工具 。 

(4) 消除 可 能 发 生 的 攻击 

一 般 情 况 下 , 某 些 安全 漏洞 是 不 需要 处 理 的 ,因为 如 果 修复 这 些 安全 漏洞 ， 
可 能 会 导致 系统 运行 效率 下 降 或 系统 不 可 用 的 情况 发 生 。 此 时 ,管理 员 可 以 通 
过 采取 一 些 缓解 措施 来 控制 攻击 者 对 漏洞 的 利用 , 尽 可 能 消除 可 能 发 生 的 攻击 。 

(5) 解决 核心 安全 问题 

安全 人 员 或 软件 开发 人 员 需 要 采取 经 常 更 新 升级 或 安装 漏洞 补丁 的 方式 来 
解决 核心 安全 问题 。 这 些 核心 问题 可 能 存在 于 网 络 .操作 系统 或 应 用 中 。 


2.3.3 2010 年 度 网 络 安 全 报告 


ICS-CERT 2010 年 报告 中 回顾 了 本 年 度 与 工业 控制 系统 相关 的 震 网 病毒 
和 APT 攻击 事件 ,分 析 了 目前 两 种 主要 的 漏洞 发 布 方式 ,总 结 了 从 安全 事件 得 
到 的 经 验 教训 。 


1. 震 网 病毒 (Stuxnet) 


震 网 病毒 的 出 现 使 人 们 开始 真正 关注 基础 设施 的 安全 。 它 使 人 们 开始 深入 
研究 现存 的 遗留 系统 中 的 相互 依赖 性 和 脆弱 性 问题 。 从 震 网 病毒 安全 事件 中 我 
们 吸取 的 经 验 和 教训 包括 : 
。 关键 基础 设施 核心 资源 (Critical Infrastructure and Key Resource， 
CIKR) 拥 有 者 需要 制定 USB 设备 以 及 其 他 可 移动 设备 在 控制 系统 环境 
中 的 使 用 政策 。 

。 资产 所 有 者 需要 采用 深度 防御 策略 、 设 计 合理 的 日 志 监 测 流程 .使 用 合 
适 的 网 络 监视 手段 来 应 对 此 类 恶意 软件 的 威胁 。 

。 对 于 公共 和 私营 部 门 合作 伙伴 来 说 ,及 时 共享 威胁 与 分 析 结 果 信 息 对 于 

开展 安全 防护 工作 来 说 是 重 中 之 重 。 


2. 高 级 持续 性 威胁 攻击 (Advanced Persistent Threat, APT) 


由 于 APT 攻击 者 资金 充足 ,并 且 具 有 组 织 性 ,因此 在 很 多 情况 下 很 难 去 检 
测 、 防 御 和 彻底 消除 这 种 攻击 。2010 年 ,ICS-CERT 和 US-CERT 帮助 大 量 工控 
系统 用 户 开展 了 与 APT 相关 的 安全 检查 和 评估 工作 。 此 外 ,二 者 还 针对 如 何 更 
好 地 保障 网 络 安全 ,检测 未 知 恶意 活动 ,向 用 户 推荐 了 相关 解决 方案 。 从 APT 
安全 检查 中 获得 的 经 验 和 教训 包括 : 

。 资产 所 有 者 和 运营 者 是 最 容易 受到 各 种 攻击 的 对 象 。 

© 一 个 组 织 如 果 缺 乏 安 全 实践 ,那么 就 更 容易 遭受 攻击 ,并 且 这 也 将 使 得 
安全 检测 和 安全 取证 工作 变 得 更 难 。 
鱼 叉 式 网 络 钓鱼 攻击 是 攻击 者 获取 攻 入 企业 网 络 的 切入 点 。 
组 织 不 仅 需 要 部 署 更 好 的 检测 方法 来 检测 安全 威胁 ,更 需要 加 强 对 所 有 
控制 系统 网 络 链 路 的 安全 评估 工作 。 


3. 漏洞 发 布 


2010 年 ,ICS-CERT 及 其 协调 中 心 (CERT Coordination Center. CERT/ 
CC) ,US-CERT 研究 者 和 工业 控制 系统 厂商 一 起 合作 及 时 发 布 相关 漏洞 。 这 
种 协同 合作 方式 在 研究 者 和 厂商 之 间 取 得 了 非常 好 的 效果 。 漏 洞 发布 有 两 类 
方式 : 

。 协调 发 布 : 研究 者 提交 漏洞 给 ICS-CERT 或 者 厂商 ,延迟 漏洞 公布 , 直 

到 厂商 发 布 补丁 。 广 家 并 给 用 户 留 出 打 补丁 修复 漏洞 的 时 间 。 
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。 非 预期 的 公布 : 研究 者 在 没有 通知 任何 协调 者 或 者 厂商 的 情况 下 公布 漏 
洞 。2010 年 ICS 的 漏洞 报告 显示 ,由 世界 各 地 的 独立 研究 者 公布 的 非 
预期 公布 的 漏洞 有 明显 的 增长 趋势 。 

经 验 教 训 : 

。 独立 研究 者 对 于 提高 控制 系统 网 络 安全 发 挥 了 重要 作用 。 

。 大 多数 的 厂商 非常 严肃 地 对 待 软件 的 安全 问题 ,更 倾向 于 选择 协调 的 方 
式 减少 或 最 小 化 对 用 户 的 影响 。 

。 在 与 那些 总 部 设立 在 其 他 国家 的 设备 厂商 之 间 沟 通 协 调 工 业 控 制 系统 
相关 的 漏洞 时 ,ICS-CERT 与 其 他 国家 的 CERT 的 作用 同等 重要 。 


4. USB 驱动 和 其 他 可 移动 介质 


在 震 网 病毒 出 现 之 前 ,ICS-CERT 就 开始 关注 跟踪 可 移动 介质 感染 恶意 软 
件 的 发 展 趋势 。 例 如 职员 通过 将 保存 有 恶意 软件 的 USB 插入 到 工业 控制 系统 
网 络 中 的 电脑 中 ,就 可 能 将 病毒 迅速 传播 到 工业 控制 系统 中 。 因 此 ,资产 所 有 者 
需要 评估 由 USB 设备 和 其 他 便携 式 媒介 设备 带 来 的 安全 风险 ,根据 系统 所 有 者 
愿意 承担 的 安全 风险 等 级 来 制定 相应 的 安全 管控 策略 。ICS-CERT 推荐 工业 控 
制 系统 拥有 者 和 运营 者 阅读 以 下 两 份 相 关 报告 : 

。 ICS-CERT 控制 系统 分 析 报 告 ,“ 针 对 关键 基础 设施 的 攻击 向 量 一 USB 

设备 驱动 程序 ”。 

。 ICS-CERT 公告 ,“ICSA-10-238-01B 一 消除 震 网 病毒 ”。 

经 验 教 训 : 工 业 控 制 系统 资产 拥有 者 需要 评估 使 用 USB 或 其 他 移动 媒介 所 
带 来 的 安全 风险 ,并 制定 相应 的 安全 策略 和 应 对 措施 。 


2.3.4 2011 年 度 网 络 安全 报告 


针对 工业 控制 系统 的 网 络 攻击 行 动 一 旦 成 功 ,就 可 能 给 诸如 公共 交通 、 电 力 
或 水 利 等 公共 服务 系统 带 来 致命 的 破坏 ,对 国家 政治 经济、 社会 及 人 民生 命 财 
产 造成 严重 损失 ,进而 危害 国家 安全 。 为 了 促进 开展 控制 系统 安全 防护 工作 , 国 
土 安全 部 的 国家 网 络 安 全 局 建立 了 控制 系统 安全 项 目 (Control Systems 
Security Program,CSSP). CSSP 的 目标 是 通过 协调 公共 部 门 和 私营 部 门 之 间 
的 合作 关系 ,为 工业 控制 系统 相关 利益 者 提供 安全 技术 指导 、 安 全 预案 和 应 急 响 
应 服务 ,来 降低 关键 基础 设施 控制 系统 的 安全 风险 。 参 与 CSSP 的 成 员 主 要 包 
括 工业 控制 系统 利益 相关 者 ,如 政府 公共 部 门 、 国 家 实验 室 、 企 业 私营 部 门 及 控 
制 系统 领域 科研 学 者 ,其 中 典型 的 参与 代表 包括 ICS-CERT、 工 业 控 制 系统 联合 
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工作 组 (Industrial Control System Joint Working Group. ICSJWG), ICS- 
CERT 2011 年 度 网 络 安全 报告 中 回顾 了 CSSP 本 年 度 的 主要 工作 成 果 。 


1. CSSP 本 年 度 工 作成 果 总 体 回 顾 


2011 年 ,CSSP 为 生产 商用 户 、 经 营 者 提供 了 关键 基础 设施 安全 服务 ,在 完 
成 以 下 任务 的 过 程 中 ,继续 朝 着 功能 安全 和 信息 安全 的 方向 发 展 。CSSP 本 年 
度 主要 工作 成 果 包 括 : 

在 本 年 度 内 将 ICS-CERT fly-away 安全 团队 部 署 到 七 个 组 织 中 ,为 其 提 
供 现 场 安全 服务 。 

* 大约 600 人 参加 了 2010 年 秋季 和 2011 年 春季 的 ICSJWG BW. 

2011 年 8 月 ,CSSP 发 布 了 网 络 安全 评估 工具 (Cyber Security 
Evaluation Tool, CSET) 4. 0 版 本 ,在 2011 年 度 完成 了 大 约 1150 套 
CSET 安装 部 署 。 

。 在 2011 财 年 完成 了 大 约 75 次 在 线 安全 评估 。 

。 CSSP 在 国内 和 国际 上 开展 了 40 多 次 训练 课程 ,有 超过 1300 人 次 参加 
了 培训 。 

CSSP 给 相关 的 厂商 提供 了 超过 100 份 安全 态势 简报 。 


2. CSSP ICS-CERT 本 年 度 的 主要 工作 成 果 


ICS-CERT 针对 工业 控制 系统 提供 安全 事件 分 析 、 响 应 和 信息 发 布 共 享 等 
服务 ,以 此 来 消除 工业 控制 系统 的 网 络 安全 威胁 和 脆弱 性 问题 。 例 如 ,ICS- 
CERT 针对 从 恶意 代码 感染 到 高 级 持续 性 威胁 等 一 系列 攻击 提供 在 线 和 远程 安 
全 事件 响应 服务 。ICS-CERT 本 年 度 主要 工作 成 果 包 括 : 

(1) CSET 工具 

CSSP 给 工业 控制 系统 厂商 和 使 用 者 提供 CSET 工具 ,以 此 来 帮助 他 们 保 
护 国家 重要 网 络 资产 。 这 个 工具 提供 给 使 用 者 一 种 系统 的 和 可 重复 实验 的 方 
法 ,根据 公认 的 行业 和 政府 标准 、 指 南 和 实践 来 评估 他 们 网 络 的 安全 态势 。 安 全 
态势 检查 范围 包括 工业 控制 系统 和 IT ABE. CSET 报告 可 以 在 屏幕 上 显示 ,也 
支持 打印 。 报 告 总 结 了 系统 的 安全 等 级 ,与 标准 对 比 存在 的 安全 差距 等 问题 。 
这 份 报告 能 够 帮助 组 织 制定 消除 安全 风险 的 安全 计划 和 策略 。 需 要 进行 自我 评 
估 的 组 织 可 以 从 CSSP 的 网 站 上 下 载 CSET 软件 。 

(2) 网 络 安全 培训 

除了 CSET 之 外 ,CSSP 还 使 用 CSET 的 在 线 评估 功能 来 对 资产 所 有 者 进 
行 在 线 培训 和 指导 。 这 种 培训 的 目的 就 是 指导 资产 所 有 者 使 用 CSET 工具 ,以 
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此 来 更 好 地 掌握 控制 系统 和 网 络 的 安全 态势 。CSSP 提供 的 培训 计划 包括 入 门 
级 .中 级 和 高 级 控制 系统 网 络 课程 。 这 些 课程 对 于 ICS 专家 和 管理 者 是 免费 的 。 
在 2011 年 ,CSSP 大 约 开 展 了 40 次 培训 课程 ,包括 20 多 次 入 门 级 的 ,8 次 中 级 
和 10 次 高 级 ICS 课程 。2011 年 4 月 ,CSSP 推出 了 管理 层次 的 培训 课程 ,使 管 
理 者 在 更 高 的 层面 上 来 总 览 控制 系统 网 络 安全 态势 。 

(3) 厂商 评估 

厂商 评估 工作 主要 是 针对 CSSP 分 析 所 得 到 的 工业 控制 系统 环境 下 的 设备 
和 软件 的 脆弱 性 问题 ,来 评估 厂商 的 特定 设备 和 软件 的 安全 等 级 。 在 2011 年 ， 
CSSP 完成 了 多 个 工业 控制 厂商 系统 的 安全 评估 ,并 提出 了 评估 结果 和 安全 建 
议 。ICS-CERT 将 评估 发 现 的 安全 问题 进行 通报 ,并 为 工业 控制 系统 利益 相关 
者 群体 提供 识别 .减少 和 消除 安全 威胁 的 技术 指导 。 

(4) 安全 事件 信息 共享 

ICS-CERT 本 年 度 向 工业 控制 系统 社区 发 布 了 100 多 次 安全 事件 警报 和 安 
全 建议 。 由 于 研究 者 们 将 ICS-CERT 作为 向 工业 控制 系统 厂商 提供 系统 脆弱 性 
分 析 结 果 的 一 个 渠道 ,因此 本 年 度 系统 脆弱 性 漏洞 报告 数目 比 同期 增长 了 
600%。 越 来 越 多 的 工业 控制 系统 拥有 者 和 运营 者 在 发 生 网 络 安全 事件 时 向 
ICS-CERT 求助 技术 指导 和 安全 评估 ,2011 年 ICS-CERT 的 网 络 安全 事件 报告 
也 比 2010 年 增长 了 200%。 


3. 未 来 工作 计划 


随 着 工业 控制 系统 及 其 安全 威胁 的 发 展 ,未 来 工作 需要 CSSP 和 ICS- 
CERT 进一步 满足 工业 控制 系统 所 有 者 、 生 产 商 和 操作 者 的 需要 。 给 工业 控制 
系统 领域 客户 群体 提供 他 们 需要 的 安全 评估 工具 和 服务 ,进而 保证 系统 安全 运 
转 ,是 ICS-CERT 和 CSSP 的 共同 发 展 目标 。 
2012 年 度 的 具体 工作 目标 包括 : 
。 加 强 安 全 事件 的 应 急 响 应 能 力 。 
* 在 工业 控制 系统 网 络 安全 事故 发 生 之 后 ,为 关键 基础 设施 和 核心 资源 所 
有 者 和 运营 者 提供 持续 的 现场 事件 响应 援助 ,进行 安全 事件 调查 和 补 
救 。 同 时 ,ICS-CERT 和 CSSP 需要 提高 恶意 软件 的 分 析 能 力 。 

。 除了 提供 在 线 评估 功能 之 外 ,CSSP 还 将 为 工业 控制 系统 安全 标准 研发 
组 织 提供 支撑 服务 ,并 继续 研发 更 新 CSET TH. 

* CSSP 计划 修订 控制 系统 安全 策略 。 这 个 项 目 将 会 促进 和 维护 CSSP 网 
站 ,以 此 来 作为 控制 系统 网 络 安 全 信息 、 漏 洞 报告 . 跨 部 门 信息 共享 的 知 
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识 库 中 心 。 致 力 于 维护 美国 在 控制 系统 安全 领域 的 世界 领先 地 位 ， 
CSSP 还 会 继续 给 NCCIC 提供 工业 系统 安全 支持 。 


2.3.5 2012 年 度 网 络 安全 报告 


认识 到 控制 系统 对 关键 基础 设施 的 重要 性 后 ,国土 安全 部 创建 了 控制 系统 
安全 项 目 (CSSP) 。 该 项 目 通 过 公共 和 私营 部 门 合 作 的 方式 来 增强 控制 系统 网 
络 安全 ,降低 国家 基础 设施 安全 风险 。ICS-CERT 作为 CSSP 的 主要 参与 单位 ， 
在 2012 年 继续 对 关键 基础 设施 所 有 者 .运营 者 .厂商 .政府 机 构 以 及 其 他 部 门 提 
供 了 安全 产品 .服务 和 支持 。2012 年 ICS-CERT 年 度 网 络 安全 报告 2 回顾 了 
本 年 度 ICS-CERT 和 CSSP 的 主要 工作 。 


1. ICS-CERT 和 CSSP 本 年 度 的 主要 工作 成 果 


2012 年 ,ICS-CERT 主要 致力 于 发 展 国 家 网 络 安全 和 通信 集成 中 心 的 网 络 
安全 响应 能 力 。ICS-CERT 和 CSSP 的 本 年 度 主要 工作 成 果 包 括 : 
通过 安全 预警 和 安全 建议 方式 来 提供 了 安全 态势 感知 服务 。 

在 恶意 软件 、 系 统 漏洞 等 方面 开展 了 技术 分 析 。 

帮助 资产 所 有 者 发 现 .、 分 析 安 全 威胁 ,从 安全 事件 中 进行 应 急 响 应 和 
恢复 。 

与 研究 者 和 厂商 合作 协调 开展 控制 系统 脆弱 性 监测 工作 。 

2012 年 ,ICS-CERT 为 18 个 基础 设施 领域 的 500 个 合作 伙伴 提供 了 约 
60 份 简 报 。 

K 2-2 比较 了 在 2010 年 .2011 年 .2012 年 中 的 所 有 的 事件 报告 .现场 事件 
响应 ,漏洞 报告 等 方面 的 统计 数据 。 其 中 ,ICS-CERT 信息 产品 和 漏洞 报告 都 呈 
现 出 一 个 持续 增长 的 趋势 。 

R 2-2 ICS-CERT 近 几 年 活动 对 比 表 


ICS-CERT 工作 指标 2010 年 统计 2011 年 统计 2012 年 统计 
ICS 事件 报告 39 204 138 
现场 部 署 的 ICS 事件 响应 8 7 6 
ICS 相关 的 漏洞 报告 41 141 147 
ICS-CERT 信息 产品 138 283 343 
分 发 或 者 下 载 的 CSET 2394 7448 5584 
现场 评估 57 70 89 
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续 表 
ICS-CERT 工作 指标 2010 年 统计 2011 年 统计 2012 年 统计 
专业 训练 2499 1658 2241 
培训 课程 的 数量 55 47 52 
ICSJWG 会 员 人 数 N/A 1040 1416 
演讲 47 164 200 
会 议 展览 11 20 19 


表 2-3 则 比较 了 在 2010,2011,2012 财 年 18 个 关键 基础 设施 领域 对 控制 系 
统 联 盟 提 供 的 在 线 评 估 的 数量 。 


表 2-3 分 领域 显示 每 财 年 的 在 线 评 估 领 域 数量 


领域 FY-10 FY-11 FY-12 累计 
农业 食品 0 5 0 5 
银行 金融 2 1 6 9 
化 工 0 0 4 4 
商业 设施 3 10 2 15 
水 坝 1 0 0 1 
国防 工业 基础 1 0 12 13 
应 急 服务 0 2 3 5 
能 源 13 11 7 31 
市 政 设施 6 5 3 14 
信息 技术 0 3 5 8 
国家 纪念 碑 & 图 标 0 5 1 6 
核反应 堆 材料 和 废弃 物 0 2 8 10 
邮政 和 航运 0 0 1 1 
公共 卫生 和 医疗 5 6 1 12 
电信 0 1 0 1 
交通 6 7 10 22 
供水 和 废水 系统 19 21 25 65 
关键 制造 2 2 1 5 
总 计 57 81 89 227 
已 评估 领域 的 比例 11/18 14/18 15/18 N/A 
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表 2-3 中 的 最 后 一 行 比较 了 在 当年 已 开展 在 线 评估 领域 的 数量 与 总 的 领域 
的 数量 之 比 。 每 年 在 线 评估 的 总 数量 也 呈现 出 一 个 逐年 递增 的 趋势 。 


2. 下 一 步 计划 


ICS-CERT 的 主要 工作 就 是 做 好 网 络 响应 预案 ,或 尽 可 能 减低 关键 信息 基 
础 设施 中 断 的 可 能 性 ,以 此 来 保护 公共 、 经 济 、 政 府 服务 和 国家 的 总 体 安全 。 
ICS-CERT 会 继续 与 公共 和 私营 部 门 以 及 国际 合作 伙伴 一 起 来 准备 .阻止 和 应 
对 网 络 安全 事件 。ICS-CERT 提供 相关 资源 来 提高 国家 网 络 和 通信 基础 设施 的 
安全 性 .可 恢复 性 和 可 靠 性 。 为 了 提供 综合 能 力 , 基 于 特定 客户 的 需求 ,ICS- 
CERT 会 继续 加 强 网 络 安全 响应 能 力 。 

ICS-CERT 将 继续 跟踪 以 下 五 个 策略 目标 。 

。 目标 1: 培养 公共 和 私营 部 门 合作 伙伴 协作 关系 ,以 此 来 支持 ICS 的 网 
络 安全 倡议 。 
目标 2: 将 自己 打造 成 一 个 与 工业 控制 系统 安全 有 关 的 全 球 信 息 交流 
中 心 。 
目标 3: 支持 强大 的 安全 事件 信息 共享 机 制 ,提高 事件 响应 能 力 。 
目标 4: 提高 控制 系统 安全 意识 ,完善 利益 相关 者 的 技术 知识 。 
目标 5: 确保 ICS-CERT 是 一 个 自 适应 和 有 准备 的 组 织 , 有 效 计划 、 预 测 
和 管理 未 来 的 安全 威胁 。 

2.3.6 2013 年 度 网 络 安全 报告 

经 济 和 社会 的 安全 依赖 于 国家 关键 基础 设施 的 可 靠 性 和 可 恢复 性 。ICS- 

CERT 发 布 的 2013 年 度 网 络 安全 报告 5 介绍 了 如 何 通过 建立 国家 级 网 络 安全 


预案 来 提高 国家 网 络 安全 态势 感知 和 安全 响应 能 力 , 保 证 全 国 关 键 基础 设施 的 
运行 安全 。 


1. 国家 级 安全 预案 


对 于 ICS-CERT 响应 能 力 来 说 ,建立 国家 级 安全 预案 的 关键 因素 包括 :协作 
关系 ,统一 行动 ,分 层 响 应 ;可 扩展 .灵活 .适应 性 强 的 业务 能 力 。 
在 预防 .防护 消除 .响应 和 恢复 5 个 方面 ,ICS-CERT 的 建议 如 下 : 
。 预防 一 一 通过 加 强 伙伴 合作 关系 ,来 避免 .预防 .停止 安全 威胁 或 实际 恐 
怖 行为 。 
* 保护 一 一 通过 分 层 保护 思想 ,从 运营 层面 网络 层 面 . 主 机 层面 以 及 安全 
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baeo bee Unna 


df 
A EH UNA n 命 财产 损失 。 

. 一 指挥 下 协同 努力 开展 应 急 
网 应 行动。 


© 恢复 一 一 网 络 安全 事件 发 生 后 ,在 进行 响应 的 同时 ,开展 应 急 恢 复工 作 。 
2. 未 来 计划 


ICS-CERT 将 会 继续 提高 国家 关键 基础 设施 的 可 恢复 性 和 可 靠 性 ,并 保护 
其 核心 资源 。ICS-CERT 将 会 与 全 国 的 关键 基础 设施 生产 供应 商 . 运 营 者 和 资 
产 所 有 者 们 一 起 合作 来 应 对 各 种 关键 基础 设施 安全 威胁 。 并 且 ,ICS-CERT 还 
PULS cb ed 运营 者 和 所 有 者 提供 安全 技术 指导 。 

这 种 培训 允许 他 们 接触 到 全 国 各 地 更 多 的 关键 基础 设施 专业 人 员 。ICS-CERT 
将 致力 于 支持 关键 基础 设施 利益 相关 者 解决 未 来 潜在 的 安全 问题 ,继续 提高 网 
络 安全 响应 能 力 。 


2.3.7 2014 年 度 网 络 安全 报告 


ICS-CER T2014 年 度 网 络 安全 报告 53 主要 从 安全 运营 和 降低 安全 威胁 两 
个 方面 总 结 了 本 年 度 主要 工作 。 其 中 安全 运营 包括 安全 事件 响应 、 系 统 脆 弱 性 
问题 协调 应 对 、 安 全 态势 感知 和 技术 分 析 工 作 , 降 低 安全 威胁 工作 包括 在 线 安全 
评估 、 网 络 安全 评估 工具 CSET 研发 与 推广 .培训 和 工业 控制 系统 联合 工作 组 
工作 。 


1. 2014 年 主要 工作 成 果 


(1) Havex 和 BlackEnergy 安全 事件 响应 

ICS-CERT 致力 于 向 私营 部 门 关键 资产 所 有 者 提供 关于 Havex 和 BlackEnergy 
恶意 软件 的 分 类 简报 。 这 些 简报 内 容 涉 及 15 个 城市 ,时 间 从 2014 4F. 11 H 25 H 
到 12 月 11 H. ICS-CERT 也 通过 网 络 研讨 会 发 布 了 多 个 警报 ,通报 Havex 和 
BlackEnergy 恶意 软件 特征 的 详细 信息 及 其 对 应 的 网 络 防御 方法 。 

(2) Heartbleed OpenSSL 安全 事件 响应 

漏洞 协调 小 组 及 时 发 布 了 关于 心脏 滴 血 漏洞 的 详细 报告 ,并 邀请 漏洞 原始 
发 现 人 员 参 加 了 两 次 网 络 研 讨 会 。 当 发 现 心脏 滴 血 漏洞 后 ,漏洞 协调 小 组 立即 
组 织 应 急 响 应 行动 ,识别 了 受 影响 的 工业 控制 系统 产品 ,并 及 时 发 布 了 多 次 安全 
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警报 。 此 外 ,小 组 还 与 工业 控制 系统 生产 厂商 积极 配合 ,防止 后 续 发 生 任 何 重大 
安全 事件 。 

(3) 在 线 培 训 

ICS-CERT 培训 小 组 推出 了 具有 混合 学 习 方法 的 新 的 在 线 培训 模块 ,这 种 
模块 能 够 更 容易 和 更 有 效 地 访问 课程 教材 ,减少 培训 材料 的 元 余 。 

(4) CSET 工具 更 新 发 布 

在 2014 4E, CSET 开发 小 组 发 布 了 CSET 的 两 个 版 本 :在 2 HA T 6.0 
版 本 ,在 8 月份 发 布 了 6.1 版 。 最 新 的 版 本 包含 了 国家 标准 和 技术 研究 院 的 《 提 
高 关键 基础 设施 网 络 安全 的 框架 规范 》, 允许 资产 所 有 者 创建 自己 的 安全 问题 题 
库 ,提高 工业 组 织 创 建 和 分 享 安全 题库 方面 的 协作 能 力 。 

(5) 安全 事件 信息 上 报 

2014 年 ICS-CERT 继续 加 强 它 与 资产 所 有 者 之 间 的 信任 关系 ,鼓励 关键 基 
础 设施 所 有 者 上 报 网 络 安全 事件 信息 。2014 年 ,ICS-CERT 老 客户 的 数量 继续 
增长 ,并 在 观察 威胁 活动 方面 积极 分 享 信息 。 如 图 2-11 所 示 , 在 2014 年 的 安全 
事件 报告 主体 统计 中 ,关键 基础 设施 拥有 者 /运营 者 上 报 的 安全 事件 就 占 到 
T 1696, 


联盟 其 他 成 员 ,134， 调查 研究 员 ,13， 
55% 5% 


开放 源码 ,21， 
9% 


NCCIC 内 部 分 析 , 38, 
15% 


设施 拥有 者 /经 营 者 ,39， 
16% 
图 2-11 根据 安全 事件 报告 主体 划分 2014 年 事件 报告 (总 计 2450 ORM: 文献 [13]) 


(6) 安全 事件 攻击 分 析 

在 2014 年 ,ICS-CERT 接收 并 响应 了 由 设施 所 有 者 和 业界 合作 伙伴 上 报 的 
245 件 安全 事件 。 如 图 2-12 所 示 ,在 2014 年 发 生 网 络 安全 事件 的 行业 分 布 中 ， 
能 源 行业 位 居 第 一 位 ,其 次 是 关键 制造 业 。 对 于 攻击 方法 或 途径 ,包括 但 不 限于 
以 下 方面 :对 于 ICS/SCADA 网 络 的 非 授权 访问 和 开发 ;网 络 扫描 和 探测 ;可 移 
动 介质 ;暴力 破解 人 侵 ; 不 健全 的 认证 机 制 ;有 针对 性 的 鱼 叉 式 网 络 钓鱼 活动 ; 
SQL 注入 ;水 坑 攻击 ;社会 工程 学 。 图 2-13 显示 了 根据 攻击 类 型 划分 的 2014 年 
安全 事件 统计 情况 。 


D. 
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4 水 利 ,14 


能 源 ,79 


关键 制造 业 ,65 


农业 食品 ,2 
图 2-12 根据 安全 事件 发 生 行业 划分 2014 年 事件 报告 (总 计 245)( 来 源 : 文献 [13]) 


网 络 扫描 /探测 ,53 
弱 认 证 方式 ,13 


非 授权 途径 访 
问 和 攻击 ,9 


可 移动 介质 /媒体 ,5 


未 知 方式 ,94 SQL 注入 ,5 
混杂 方式 ,21 暴力 攻击 ,3 
图 2-13 根据 攻击 类 型 划分 2014 年 事件 报告 (总 计 245)( 来 源 : 文献 L[13]) 


在 2014 年 ,因为 鱼 又 式 攻击 效果 明显 ,技术 成 熟 , 所 以 鱼 叉 式 攻击 仍然 是 本 年 
度 最 流行 的 一 种 攻击 手段 。 水 坑 攻 击 作为 一 种 新 的 技术 被 用 于 在 各 种 生产 商 的 网 
站 上 安装 特洛伊 木马 软件 ,用 户 软件 更 新 时 ,在 毫 无 防备 的 用 户 网 络 中 安装 恶意 软 
件 。 许 多 被 侵入 的 用 户 甚至 都 没有 意识 到 他 们 已 经 受害 了 。 社 会 工程 学 也 是 最 常 
用 的 手段 ,并 且 增 加 了 对 可 移动 媒介 的 使 用 。 此 外 ,本 年 度 还 发 现 了 多 个 针对 工业 
控制 系统 特定 功能 多 个 系列 的 恶意 软件 。 为 了 应 对 这 些 安全 威胁 ,ICS-CERT 提 
供 了 远程 在 线 的 事件 响应 支持 ,分 析 事 件 是 由 人 为 因素 还 是 恶意 软件 所 致 。 

(7) 高 级 分 析 实 验 室 研发 成 果 

高 级 分 析 实 验 室 (The Advanced Analytical Laboratory, AAL) 提 供 了 研究 
和 分 析 能 力 ,能 够 支持 ICS-CERT 完成 安全 事件 评估 、 响 应 和 漏洞 发 布 等 行动 。 
AAL 的 网 络 安全 研究 涉及 数字 媒介 的 取证 分 析 、 工 程 恶意 软件 逆向 分 析 以 及 在 
线 或 者 远程 的 网 络 事件 分 析 。2014 4E. AAL 主要 进行 实验 室 分 析 能 力 的 自动 
化 和 优化 工作 , 主要 在 以 下 几 个 方面 进行 了 改进 :完成 了 远程 事件 响应 网 络 
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(Remote Incident Response Network. RIRN) ;将 取证 分 析 工 具 自动 化 并 集成 到 
一 个 网 络 分 析 工 具 (Analyst Network Tool, ANT) 套 装 软件 内 ;开发 一 个 在 事件 
响应 期 间 分 析 安 全 事件 数据 关联 的 自 定义 应 用 程序 , 即 广泛 事件 响应 关联 
(Correlating Extensive Incident Response，CEIR) 工 具 。 

(8) 安全 评估 

ICS-CERT 评估 部 门 在 21 个 州 进行 了 104 次 在 线 网 络 安全 评估 活动 ,以 此 
来 帮助 关键 基础 设施 资产 所 有 者 评估 他 们 的 工业 控制 系统 的 整体 网 络 安全 等 
级 ,提高 其 安全 防护 和 应 急 能 力 。 这 些 在 线 网 络 安全 评估 活动 主要 包括 以 下 评 
佑 方式 :现场 指导 网 络 安全 分 析 工 具 (CSET) 评 估 , 设 计 结 构 审 查 (Design 
Architecture Review, DAR). 网络 架构 检验 和 确认 (Network Architecture 
Verification and Validation, NAVV). K| 2-14 显示 了 2014 年 ICS-CERT 在 各 
个 州 在 线 评估 的 数量 。 


» 104 Total 
Assessments for FY 2014 


图 2-14 XE 2014 ^E Hi ICS-CERT 统计 各 个 州 在 线 评估 数量 (来 源 : 文献 [13]) 


表 2-4 根据 评估 类 型 划分 的 在 线 评估 数量 


评估 类 型 2014 财 年 数量 
CSET 49 
DAR 35 
NAVV 18 
企业 基于 主机 的 分 析 2 
Bit 104 
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2. 未 来 计划 


2015 年 ,ICS-CERT 将 会 继续 提高 网 络 安全 能 力 , 扩 展 支持 16 个 关键 基础 
设施 领域 所 有 工业 控制 系统 利益 相关 者 的 安全 服务 。 通 过 实时 有 效 的 态势 感 
知 、 信 息 共 享 策略 ,ICS-CERT 将 会 继续 与 行业 和 政府 相关 参与 者 一 起 合作 努力 
来 降低 关键 基础 设施 面临 的 网 络 风险 。 

为 了 进一步 提高 在 线 评估 ,ICS-CERT 还 将 会 为 关键 基础 设施 资产 所 有 者 
在 CSET 使 用 方面 进行 更 多 的 一 对 一 服务 ,帮助 他 们 找 出 安全 问题 ,提高 安全 防范 
和 安全 响应 能 力 。 除 了 扩展 现场 评估 之 外 ,ICS-CERT 还 将 开发 和 出 版 有 关 安 全 
建议 和 防御 策略 的 控制 系统 专用 技术 指南 来 应 对 不 断 变 化 的 安全 威胁 。2015 年 
的 其 他 目标 还 包括 改善 并 扩充 ICS-CERT 技术 团队 及 工具 。 此 外 ,ICS-CERT 
还 将 继续 提高 培训 课程 质量 ,更 好 地 满足 关键 基础 设施 资产 拥有 者 技术 需求 。 


2.3.8 2015 年 度 网 络 安全 报告 


ICS-CERT 与 NCCIC 一 起 联合 发 布 了 2015 年 度 网 络 安全 报告 259 。 本 报 
告 回 顾 了 2015 年 NCCIC fil ICS-CERT 取得 的 工作 成 果 ,并 为 2016 年 做 好 了 工 
作 计 划 。 


1. 2015 主要 工作 成 果 


d) 奥巴马 总 统 视察 NCCIC 

2015 年 1 月 13 日 ,奥巴马 总 统 视察 NCCIC, 并 发 表 了 关于 新 网 络 安全 法 的 
讲话 。 讲 话 指出 ,网 络 安 全 威胁 已 经 给 国家 安全 提出 了 巨大 的 挑战 ,并 着 重 强调 了 
建立 一 个 公共 部 门 和 私营 部 门 之 间 可 靠 信息 共享 和 协同 应 急 响 应 机 制 的 重要 性 。 

(2) ICS-CERT 获得 政府 信息 安全 领导 奖 社区 意识 奖 

2015 年 5 月 ,由 于 ICS-CERT 在 BlackEnergy 和 Havex 攻击 事件 中 做 出 的 
突出 贡献 ,ICS-CERT 被 授予 第 12 届 美 国政 府 信息 安全 领导 奖 社区 意识 奖 。 

(3) 技术 培训 

2015 年 8 月 ,ICS-CERT 培训 小 组 更 新 了 既 有 的 虚拟 学 习 门 户 。 本 次 升级 
与 联邦 法 律 里 面 规 定 的 基于 云 的 应 用 一 致 ,提升 了 图 形 用 户 界面 ,降低 了 运营 成 
本 。 新 的 虚拟 学 习 门 户 也 促进 了 项 目 提供 持续 教育 单元 的 目标 。 

(4) 安全 评估 

ICS-CERT 对 16 个 关键 领域 的 8 个 领域 进行 了 112 次 评估 ,其 中 ,38 次 是 
使 用 网 络 安全 评估 工具 (Cyber Security Evaluation Tool,CEST) ,46 次 是 使 用 


设计 结构 审查 (Design Architecture Review, DAR) 


评估 区 域 


2014 年 
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工具 ,28 次 是 使 用 网 络 架 构 
验证 和 确认 (Network Architecture Verification and Validation, NAVV) 工 具 。 
其 中 ,从 2014 4E 9 H —2015 ^£ 2 H fI 2015 年 11—12 月 两 个 时 间 段 内 ,ICS-CERT 
总 共 进 行 了 55 次 评估 工作 ,以 此 来 提高 关键 基础 设施 所 有 者 、 运 营 者 和 控制 系 
统 厂商 (如 表 2-5 所 示 ) 的 网 络 安 全 态势 感知 能 力 。 在 这 55 次 现场 评估 中 ,23 次 是 
使 用 CSET,21 次 是 使 用 DAR,11 次 是 使 用 NAVV (如 表 2-6 所 示 ) 。 


表 2-5 ”不同 领域 评估 情况 表 


2015 年 


9 月 


10 月 


11 月 


12 月 


1 月 


2 月 |11 月 


化 工 


商业 设施 


通信 


关键 制造 


大 坝 


国防 工业 基础 


应 急 服务 


能 源 


金融 服务 


食品 和 农业 


市 政 设施 


医疗 和 公共 卫生 


信息 技术 


核反应 堆 材 料 和 废弃 物 


运输 系统 


4 


供水 与 废水 系统 


25 


月 度 总 计 


评估 工具 


e 


不 同 评估 工具 统计 表 


2015 年 


总 计 55 次 


总 计 


12 月 


2 月 11 月 


CSET 3 


2 


1 1 


23 


DAR 1 


21 


NAVV 1 


11 


月 度 总 计 5 


a 


ale] tl 


a] wl]w 
m 
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(5) FE CSET 6. 2 和 7. 0 版 本 

2015 年 ,CSET 开发 小 组 发 布 了 CSET 的 两 个 版 本 ,1 月 份 的 6.2 版 和 8 月 
份 的 7.0 版 。 最 新 版 本 功能 包括 了 新 的 界面 .新 的 安全 标准 ,提升 了 相关 功能 和 
评估 文件 的 加 密 能 力 。2015 财 年 ,ICS-CERT 在 120 个 国家 发 布 了 CSET 的 
7400 份 找 贝 版 。 

CSET 开发 小 组 还 在 2015 年 秋季 的 工业 控制 系统 联合 工作 组 会 议 上 介绍 
T CSET 的 最 新 变化 ,对 CSET 进行 了 演示 ,阐述 了 工具 的 新 目标 ,突出 显示 了 
最 新 功能 。 本 次 介绍 还 包括 CSET 可 能 的 新 功能 的 调查 问卷 ,如 图 2-15 所 示 ， 
调查 结果 明确 说 明了 资产 所 有 者 期 望 在 控制 系 用 系统 架构 方面 的 安全 指导 。 


CSET Features Survey 


Would you be interested in participating in a ICS/JWG CSET subgroup? 
Based on the saves to consequences and SAL descriptions, would it be helpit for ICS-CERT 
indentify what enviroments should have data diodes rather than firewalls? 
Sd it be helpful to have templates for how your ICS architecture should look? 
Do you have business process outputs that coluld be combined with CSET information? 
For example, a network inventory list. 
Would it be useful if you could input firewall and switch configurations, run an analysis, 
and receive a list of mitigation recommendations, igurations,and priorities? 
Would it be useful if you could ree network Traffic, an analize it, and provide 
e for CSET to generate a network diagram? 
Would you rather have have an online community where you 
load, and share common on profiles? 
Would it be useful if you could create m set and submit it to 
A ? be i with the CSET tool? 
In regards to sharing of data, are you familiar with the PCII program and the protection it offers? 


As a critical infrastructure owner, "mud you be willing to. share you CSET information 

rou could see yoursel against your peers? 

Would it be useful if you were able ae pai a window on you decperema that listed 

only the alerts that applied to your system? 

Would it be useful if you were able to pull real time threat Information from the ICS-CERT sad, 
have CSET highlight the changes in your priority liso. 199% 20% 30% 40% 50% 60% 70% 80% 90% 100% 


Yes (No Bl Unanswered 


图 2-15 CSET 特点 调查 (来 源 : 文献 [14]) 


(6) 安全 事件 响应 和 安全 漏洞 协调 处 理 

在 2015 财 年 ,ICS-CERT 响应 了 295 起 网 络 安全 事件 。 这 比 2014 年 增长 
了 20%。 如 图 2-16 所 示 ,关键 制造 业 在 2015 年 发 生 了 97 起 安全 事件 ,成 为 所 
有 行业 中 发 生 安 全 事件 最 多 的 行业 ,这 主要 是 因为 在 2015 年 针对 关键 制造 企业 
发 生 了 大 范围 的 鱼 又 攻击 。 其 次 就 是 能 源 行业 ,发 生 了 46 起 安全 事件 。 然 后 水 
利和 污水 行业 排列 第 三 ,发 生 了 25 起 安全 事件 。 同 时 ,ICS-CERT 共 协 调处 理 
了 321 个 安全 漏洞 , 较 2014 年 的 231 件 约 增长 了 39% 。 漏 洞 协调 小 组 减少 了 漏 
洞 处 理 的 平均 天 数 。 

2015 财 年 ,ICS-CERT 应 急 响 应 了 大 量 的 由 于 网 络 架构 不 合理 所 导致 的 安 
全 事件 ,比如 工业 控制 网 络 直接 连接 到 互联 网 或 者 企业 网 。 这 是 非常 有 利于 攻 
击 者 发 起 鱼 又 式 网 络 钓鱼 攻击 的 。 图 2-17 显示 了 在 2015 财 年 入 侵 事件 中 使 用 


.2 


供水 和 废水 系 | 
统 , 25 交通 , 23 


E 2-16 按 区 域 划分 的 2015 财 年 网 络 事件 , 共 295 件 (来 源 : 文献 [14]) 


未 知 方式 , 110 暴力 攻击 ,4 

非 授权 途径 访问 
和 攻击 ,7 

SQL 注入 ,4 

针对 弱 认 证 攻 
击 , 18 

其 他 , 17 

网 络 扫描 /探测 , 26 


鱼 又 攻击 , 109 
图 2-17 按 试图 感染 途径 划分 的 2015 财 年 网 络 事件 , 共 295 件 (来 源 : 文献 [14]) 


技术 的 饼 状 图 。 其 中 有 37% 的 安全 事件 来 自 于 钓鱼 攻击 。 
2. 未 来 计划 


在 2016 年 ,ICS-CERT 将 会 继续 拓展 其 在 16 个 关键 基础 设施 行业 中 的 网 
络 安全 能 力 , 为 所 有 工业 控制 系统 利益 相关 者 提供 更 好 的 安全 服务 。ICS- 
CERT 也 将 继续 与 工业 界 和 政府 合作 伙伴 协调 合作 ,一 起 通过 及 时 有 效 的 安全 
事件 信息 共享 方式 来 尽 可 能 降低 网 络 系统 的 网 络 安全 风险 。 为 了 更 好 地 开展 在 
线 安全 评估 工作 ,ICS-CERT 也 将 会 继续 扩招 人 员 并 努力 加 强 为 关键 基础 设施 
资产 所 有 者 提供 使 用 DAR M NAVV 工具 的 一 对 一 指导 服务 能 力 。 此 外 ,在 
2016 年 ,ICS-CERT 还 将 为 联邦 政府 机 构 提 供 全 方位 的 控制 系统 安全 评估 。 


2.3.9 2016 年 度 网 络 安全 报告 


ICS-CERT 发 布 的 2016 年 度 网 络 安全 报告 总 结 了 2016 年 ICS-CERT 
的 主要 工作 成 果 , 并 展望 了 2017 年 的 工作 方向 和 目标 。 
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1. 2016 年 主要 工作 成 果 


dé 2-7 给 出 了 2014 年 至 2016 年 ICS-CERT 的 主要 工作 对 比 情况 。 表 2-8 
给 出 了 近 几 年 在 不 同 领域 的 评估 统计 情况 。 


表 2-7 ICS-CERT 近 几 年 活动 对 比 表 


ICS-CERT 工作 指标 2014 年 2015 年 2016 年 

ICS 事件 报告 245 295 290 
现场 部 署 的 ICS 事件 响应 4 5 3 
ICS 相关 的 漏洞 报告 159 189 187 
ICS-CERT 信息 产品 339 332 274 

分 发 或 者 下 载 的 CSET 5132 7565 10 249 
现场 评估 104 112 130 

专业 训练 800 1330 1622 
培训 课程 的 数量 21 29 29 
ICSJWG 会 员 人 数 1726 1912 2476 
演讲 168 342 343 


(1) 安全 评估 
如 图 2-18 Bras ,在 2016 年 ,ICS-CERT 对 19 个 州 的 12 个 关键 基础 设施 领 


` “O ! 130 Total 


» Assessments For FY 2016 


2-18 ICS-CERT 2016 年 对 19 个 州 开展 安全 评估 情况 图 
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si 


32-8 不 同 领域 评估 统计 表 


评估 区 域 2014 财 年 2015 财 年 2016 财 年 
化 工 1 3 7 
商业 设施 2 0 4 
通信 0 0 5 
关键 制造 0 0 5 
大 坝 0 0 2 
国防 工业 基础 0 3 0 
应 急 服 务 0 10 3 
能 源 43 33 22 
金融 服务 0 0 
食品 和 农业 0 0 3 
市 政 设施 5 12 10 
医疗 和 公共 卫生 0 0 0 
信息 技术 0 3 3 
核反应 堆 材 料 和 废弃 物 5 0 0 
运输 系统 10 9 10 
供水 与 废水 系统 38 39 56 
总 计 104 112 130 
已 评估 行业 7/16 8/16 11/16 


域 进行 了 130 次 评估 ,其 中 ,32 次 是 使 用 网 络 安全 评估 工具 CEST,55 次 是 使 用 
设计 结构 审查 DAR 工具 ,43 次 是 使 用 网 络 架 构 验 证 和 确认 NAVV TH, ICS- 
CERT 在 本 年 度 还 参与 了 区 域 弹性 评估 项 目 (Regional Resiliency Assessment 
Program,RRAP)。RRAP 是 一 个 对 特定 区 域 的 特定 关键 基础 设施 所 开展 的 安 
全 评估 项 目 。 在 2016 年 ,ICS-CERT 为 RRAP 提供 了 16 次 基础 设施 安全 评估 
服务 。 基 于 这 些 安全 评估 工作 ,在 2016 年 8 月 ,ICS-CERT 安全 评估 小 组 发 布 
T 2016 年 度 NCCIC/ICS-CERT 工业 控制 系统 安全 评估 总 结 报告 。 

此 外 ,ICS-CERT 在 2016 年 还 参与 了 联邦 设施 控制 系统 安全 项 目 (Federal 
Facility Control Systems Security Program. FFCSSP), FFCSSP 是 由 ICS- 
CERT、 联 邦 保护 服务 (Federal Protective Services. FPS) .总 务 管理 局 (General 
Services Administration,GSA) 联 合 开 展 的 政府 设施 控制 系统 安全 评估 项 目 。 

(2) FF CSET 7.1 和 8.0 版 本 

ICS-CERTCSET 研发 团队 于 2016 年 的 2 月 发 布 了 CSET 的 7.1 版 本 ,于 9 
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月 发 布 了 8.0 版 本 。 最 新 版 本 的 CSET 实现 了 最 新 的 工业 控制 系统 协议 ,优化 
了 用 户 操作 界面 。 在 2016 年 ,ICS-CERT 在 120 个 国家 部 署 安 装 了 10 000 多 个 
CSET 工具 。 

(3) 安全 事件 响应 

在 2016 财 年 ,ICS-CERT 事件 响应 小 组 完成 了 290 起 安全 事件 。 其 中 HE 
名 前 三 的 行业 包括 ,关键 制造 行业 63 起 ,通信 行业 62 起 ,能 源 行 业 59 起 。 在 所 
有 这 些 安全 事件 中 ,网 络 钓鱼 是 最 主要 的 攻击 方式 ,有 26% 的 安全 事件 都 是 由 
于 网 络 钓鱼 引起 的 。 其 次 则 是 网 络 扫描 和 嗅 探 ,有 12% 的 事件 是 由 于 网 络 扫 描 
和 嗅 探 发 起 的 。 

2015 年 12 月 23 日 ,乌克兰 电网 系统 遭 黑客 攻击 。 该 事件 发 生 后 , NCCIC/ 
ICS-CERT 和 联邦 调查 局 ,国土 安全 部 及 其 他 联邦 机 构 一 起 协助 乌克兰 来 分 析 、 
应 对 此 次 攻击 。 在 2016 年 3 月 和 4 月 ,ICS-CERT 和 联邦 调查 局 组 织 电网 设施 
拥有 者 和 相关 人 员 开 展 了 一 系列 线 下 和 线 上 的 研讨 会 ,为 他 们 提供 了 攻击 事件 
分 析 结 果 信 息 。 

(4) 组 织 召 开工 业 控 制 系统 联合 工作 组 会 议 

本 年 度 , 工 业 控 制 系统 联合 工作 组 成 功 组 织 召 开 了 春季 和 秋季 两 次 工业 控 
制 系统 联合 工作 组 会 议 , 一 共有 594 人 参 会 。 春 季 会 议 中 就 有 306 个 工业 控制 
系统 利益 参加 ,这 是 目前 为 止 规模 最 大 的 一 次 会 议 。 

(5) 技术 分 析 

2016 年 ,ICS-CERT 先进 分 析 实 验 室 对 100 个 恶意 软件 样本 进行 了 深度 研 
究 分 析 , 向 工业 控制 社区 发 布 了 多 个 网 络 安全 警报 。 

(6) 技术 培训 

在 2016 财 年 ,24 350 个 学 生 注 册 了 ICS-CERT 在 线 培训 课程 ,并 已 有 17 773 
个 学 生 完 成 了 整个 培训 课程 。ICS-CERT 培训 团队 在 匹兹堡 、 波 士 顿 等 地 开展 
了 多 次 技术 培训 活动 ,共计 有 1076 人 次 参加 了 培训 。 


2. 未 来 工作 


在 2017 年 里 ,ICS-CERT 将 继续 提高 国家 16 种 关键 基础 设施 行业 的 网 络 
安全 能 力 。 其 私营 部 门 安全 评估 CSET 培训 等 团队 分 别 制定 了 各 自 2017 年 的 
具体 工作 目标 : 四 私营 部 门 安全 评估 团队 将 与 设施 拥有 者 们 一 起 来 制定 因 地 制 
宜 的 安全 评估 方法 。 团 队 将 综合 利用 CSET、DAR 和 NAVV 评估 工具 来 为 设 
施 拥 有 者 们 提供 综合 的 安全 评估 服务 。@CSET 研发 团队 计划 发 布 两 个 新 的 版 
本 ,将 实现 国家 标准 与 技术 研究 院 NIST 800-53 第 四 版 本 和 北美 电力 可 靠 性 公 
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司 北美 电力 可 靠 性 委员 会 关键 基础 设施 防护 第 六 版 等 标准 内 容 。 加 培训 团队 将 
在 2017 年 继续 加 大 在 攻防 训练 方面 的 培训 规模 , 拟 自 春 季 开 始 每 三 周 组 织 一 
培训 。 与 此 同时 ,团队 还 会 进一步 增加 在 线 培训 课程 ,为 用 户 提供 额外 的 课程 
练习 。 

总 之 ,在 2017 年 ,ICS-CERT 将 会 为 了 实现 自身 的 职责 ,继续 通过 加 强 公共 
和 私营 部 门 合作 关系 ,来 提升 控制 系统 安全 防护 能 力 。 


2.4 ”网络 安 全 部 门 项 目 


在 2011 年 ,为 了 应 对 不 断 增加 的 网 络 安 全 任务 ,国土 安全 部 (DHS) 下 属 高 
级 研究 计划 局 (Homeland Security Advanced Research Projects Agency. 
HSARPA) 正 式 成 立 网 络 安全 部 门 (Cyber Security Division, CSD)", jZ SEI] 
的 使 命 是 提高 关键 信息 基础 设施 和 互联 网 的 安全 性 和 弹性 ,其 具体 职责 包括 : 
中 开发 和 提供 新 技术 和 工具 ,帮助 国土 安全 部 和 美国 政府 来 保护 当前 和 未 来 的 
系统 、 网 络 和 基础 设施 ; 四 引导 和 支持 技术 发 展 ; 加 领导 和 协调 包括 政府 机 构 、 
公共 部 门 .私营 部 门 及 国际 合作 伙伴 在 内 的 研究 与 开发 团体 的 网 络 安全 研发 
LE. 

CSD 自 成 立 以 来 ,开展 部 署 了 一 系列 网 络 安全 项 目 ,具体 可 参见 65 。 接 下 
来 我 们 介绍 其 中 几 个 与 关键 基础 设施 安全 紧密 相关 的 典型 项 目 。 


2.4.1 分 布 式 拒绝 服务 防御 


典型 的 分 布 式 拒绝 服务 (Distributed Denial of Service, DDoS) 攻 击 是 指 攻 
击 者 通过 分 布 式 拒绝 服务 攻击 手段 来 向 关键 基础 设施 发 送 合理 的 服务 请 求 ,以 
此 来 占用 其 服务 资源 ,进而 使 合法 用 户 无 法 正常 访问 关键 基础 设施 服务 。 金 融 
机 构 .交通 运输 和 能 源 行 业 的 关键 基础 设施 资源 都 可 能 遭受 DDoS 攻击 。 为 了 
对 DDoS 攻击 进行 防御 ,CSD 设立 了 防御 分 布 式 拒绝 服务 (Distributed Denial of 
Service Defense. DDoSD)Jii H9? 。 该 项 目 主要 目标 是 : 四 通过 部 署 目前 应 对 
DoS 攻击 的 最 好 实践 方法 (如 Best Current Practice 38—RFC 2827 网 络 人 口 过 
UE :抵抗 基于 IP 源 地 址 欺骗 的 拒绝 服务 攻击 ) 来 降低 攻击 者 发 送 伪造 数据 包 的 
能 力 。@ 为 了 让 中 等 规模 的 企业 能 抵抗 1Tbps 的 DDoS 攻击 ,研发 企业 级 安全 
应 急 沟 通 和 协作 处 理工 具 。@ 将 诸如 “911” 和 下 一 代 “911” 等 应 急 管 理 系统 的 服 
务 容量 扩充 一 倍 , 以 此 来 应 对 基于 手机 接 入 的 拒绝 服务 攻击 。 基 于 这 些 目 标 , 该 
项 目的 具体 研发 内 容 包括 : 
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l. 通过 网 络 测量 和 验证 分 析 来 建立 DDoSD 最 佳 实践 


在 许多 情况 下 ,攻击 者 可 以 使 用 一 个 伪造 的 源 地 址 发 送 网 络 数据 包 。 例 如 ， 
来 自 攻击 者 的 数据 包 可 能 会 被 错误 地 解析 为 来 自 一 个 公司 、 组 织 或 政府 机 构 。 
大 量 的 拒绝 服务 攻击 依赖 于 使 用 伪造 源 地 址 。 而 且 伪造 源 地 址 还 增加 了 溯源 工 
作 的 难度 。 现 有 的 网 络 安全 防护 最 佳 实践 技术 能 在 网 络 外 围 筛选 出 伪造 地 址 ， 
并 利用 一 些 额 外 的 扩展 功能 来 应 对 更 复杂 的 网 络 情况 。 这 些 防 护 技术 可 以 有 效 
地 削弱 那些 基于 伪造 源 地 址 技术 的 DDoS 攻击。 例如 , 源 地 址 验证 (Sender 
Address Verification,SAV) 技 术 的 广泛 的 部 署 就 可 以 有 效 阻止 源 地 址 伪造 。 为 
此 ,2015 年 9 月 ,DHS 科学 技术 司 (Science and Technology Directorate, S&-T) 
资助 了 加 州 大 学 圣迭戈 分 校 (University of California, San Diego, UCSD)130 万 
美元 ,用 于 研究 对 互联 网 上 使 用 的 SAV 技术 进行 评估 和 改进 。 


2. 沟通 和 协作 工具 


DDoS 攻击 的 分 布 式 特性 为 攻击 者 提供 了 几 个 优势 。 一 般 情况 下 ,DDoS Be 
击 者 来 自 于 不 同 组 织 被 攻破 利用 的 电脑 主机 。 而 且 , 随 着 网 络 带 宽 和 计算 能 力 
的 不 断 增加 ,攻击 者 的 可 利用 资源 变 得 越 来 越 多 。 这 些 都 有 助 于 攻击 者 发 起 危 
害 更 严重 的 DDoS 攻击 。 

2015 年 9 月 ,DHS S&T 资助 了 南 加 州 大 学 信息 科学 研究 所 (University of 
Southern California. Information Sciences Institute. USC ISI) 180 万 美元 ,用 于 
研究 在 互联 网 服务 提供 商 (ISP) 和 其 他 网 络 之 间 开 发 一 个 通用 的 接口 ,用 以 对 网 
络 通信 的 攻击 进行 诊断 。 这 种 称 为 软件 定义 的 安全 技术 将 允许 终端 用 户 在 ISP 
中 观察 和 控制 自己 的 流量 和 路 由 ,帮助 他 们 预见 DDoS 攻击 。USC ISI 研究 显 
示 ,30 个 部 署 了 这 一 技术 的 领先 的 互联 网 服务 提供 商 有 效 地 消除 了 94% 的 
DDoS 攻击 。 

2015 年 9 月 ,DHS S&T 资助 了 科罗拉多 州立 大 学 270 万 美元 ,用 于 研究 基 
于 云 计算 服务 的 网 络 膜 技术 (NetBrane) 。 虽 然 云 安全 服务 提供 了 一 些 DDoS 保 
护 , 但 目前 的 解决 方案 不 能 保证 所 有 用 户 的 安全 。 许 多 组 织 , 如 政府 .军事 和 人 金 
融 组 织 , 需 要 严格 管理 他 们 自己 的 数据 。 这 种 数据 管理 方式 与 云 计算 中 的 数据 
管理 方式 是 不 一 致 的 。 然 而 , NetBrane 却 可 以 利用 云 计 算 服 务 的 属性 ,允许 用 
户 在 本 地 管理 数据 ,有 效 地 满足 了 用 户 本 地 管理 数据 的 需求 。 

2015 年 9 月 ,DHS S&T 资助 了 俄 勒 交 大 学 计划 创建 一 个 网 络 “ 吊 桥 ” 
(DrawBridge) 项 目 来 应 对 DDoS 攻击 。 目 前 ,因为 网 络 使 用 者 的 数据 是 由 互联 
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网 服务 提供 商 来 管理 的 ,因此 各 个 用 户 不 能 自己 管理 他 们 的 网 络 流量 。 在 ISP 
流量 接 和 点 部 署 “ 吊 桥 ? 项 目 , 将 允许 网 络 使 用 者 与 ISP 密切 合作 以 阻止 不 允许 
的 异常 网 络 流量 。ISP 与 用 户 之 间 的 协调 合作 ,将 有 利于 缓解 DDoS 攻击 。 

由 于 现在 的 DDoS 攻击 规模 巨大 ,中 型 组 织 很 难 单 独 应 对 DDoS 攻击 。 因 
此 ,为 了 抵御 这 类 攻击 ,2015 年 9 月 ,DHS S&T 资助 了 波兰 的 伽 罗 瓦 公司 170 
万 美元 ,用 于 开发 一 个 基于 通信 软件 的 DDoS 响应 解决 方案 。 该 方案 将 部 署 在 
多 个 组 织 中 ,以 便 各 组 织 之 间 更 好 地 协作 。 通 过 点 对 点 共享 软件 对 DDoS 的 攻 
击 细节 进行 交流 ,使 合作 组 织 相互 检测 并 进行 统一 防御 部 署 , 以 此 来 抵御 成 千 上 
万 的 DDoS 攻击 。 

2015 年 9 月 ,DHS S& 人 资助 了 维 吉 尼 亚 州 的 沃 特 福 德 威 弗 利 实 验 室 62. 9 万 
美元 ,用 于 研发 可 以 防御 DDoS 的 新 技术 和 新 工具 。 这 一 项 目 将 完全 开源 。 这 
个 开源 项 目 完 成 后 ,联邦 政府 组 织 、 关 键 基 础 设施 提供 商 和 组 织 都 将 可 以 使 用 这 
一 成 果 来 开发 可 防御 DDoS 攻击 的 云 服务 。 


3. 新颖 的 DDoS 攻击 缓解 和 防御 技术 


拒绝 服务 攻击 新 的 变种 会 不 断 地 在 新 的 应 用 领域 发 起 新 的 攻击 。 例 如 ， 
2013 年 初 ,国土 安全 部 和 联邦 调查 局 就 发 出 过 关于 在 紧急 救援 管理 服务 系统 
(如 911 系统 ) 中 有 可 能 发 生 拒绝 服务 攻击 的 安全 警告 。 这 些 紧 急救 援 管理 服务 
系统 包括 移动 警 务 设备 ,网 络 物理 系统 以 及 关键 基础 设施 组 件 等 ,这 些 设备 和 系 
统 都 是 拒绝 服务 攻击 的 潜在 攻击 目标 。 一 般 情况 下 ,都 是 等 发 生 了 新 的 安全 攻 
击 之 后 ,相应 的 安全 响应 才 会 给 出 安全 应 对 措施 , 即 安全 响应 都 是 反应 式 的 。 在 
理想 情况 下 ,最 好 的 情况 就 是 在 发 生 大 规模 安全 攻击 之 前 ,响应 的 安全 应 对 技术 
或 解决 方案 就 已 经 准备 好 了 , 即 安 全 响应 是 一 种 主动 式 的 。 因 此 ,本 研究 内 容 的 
目标 就 是 ,针对 那些 还 没有 遭遇 过 大 规模 DDoS 攻击 的 潜在 目标 ,设计 并 制定 
DDoS 安全 防护 机 制 。 例 如 紧急 救援 管理 服务 系统 和 网 络 物理 系统 就 是 非 传统 
的 潜在 攻击 目标 ,而 且 这 些 都 是 容易 遭受 拒绝 服务 攻击 的 系统 。 

由 于 关键 基础 设施 的 数据 中 心 与 不 同行 业 系统 的 正常 运转 密切 相关 ,这 些 
数据 中 心 一 旦 遭受 DDoS 攻击 ,那么 后 果 将 比 其 他 目标 遭受 攻击 的 后 果 更 加 严 
重 。 因 此 ,2015 年 9 月 ,DHS S&T 资 助 了 德 拉 瓦 大 学 190 万 美元 ,用 于 研究 针 
对 关键 基础 设施 数据 中 心 的 新 型 DDoS 攻击 的 缓解 和 防御 技术 。 


2.4.2 过 程控 制 系统 安全 
过 程控 制 系统 (Process Control System，PCS) 用 于 远程 监视 和 控制 关键 基 
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础 设施 的 敏感 操作 及 物理 状态 。 当 这 些 网 络 隔离 系统 与 企业 网 络 集成 之 后 ,其 
潜在 的 安全 漏洞 或 脆弱 性 可 能 就 会 暴露 在 公共 网 络 上 了 。 这 些 安全 问题 将 促使 
PCS 广 商 、 使 用 者 和 运营 者 加 大 对 PCS 安全 防护 机 制 的 研究 投入 。 大 多 数 的 关 
键 基础 设施 三 商 不 是 由 联邦 政府 拥有 的 ,而 是 由 私营 企业 经 营 的 。 过 程控 制 系 
统 安全 项 目 553 由 联邦 政府 资助 给 供应 商 们 ,以 此 来 协助 关键 基础 设施 使 用 者 和 
运营 者 加 强 安全 防护 措施 。DHS S&T 已 经 与 石油 天然气 及 电力 部 门 建立 了 
紧密 的 合作 ,开展 了 以 下 项 目 : 

(1) 将 石油 和 天 然 气 工业 连接 起 来 增强 网 络 安全 (Linking the Oil and Gas 
Industry to Improve Cyber Security, LOGIIC)U? ; 

(2) 使 得 智能 电网 中 的 网 络 基 础 设施 变 得 可 信 (Trustworthy Cyber 
Infrastructure for the Power Grid, TCIPG)'" 。 

在 16 个 国家 关键 基础 设施 行业 中 ,发 电厂 、 石 油 和 天 然 气 精炼 厂 及 其 管道 
等 是 较为 重要 的 设施 ,如 果 它 们 的 控制 和 数据 系统 遭受 网 络 攻击 ,那么 就 有 可 能 
造成 全 国 性 的 电力 石油 或 天 然 气 供给 瘫 痰 。 由 于 美国 85% 至 90% 的 关键 基础 
设施 是 由 私营 企业 掌控 ,因而 政府 要 保证 信息 系统 的 安全 并 非 易 事 。 因 此 ,2004 
年 ,国土 安全 部 创建 了 LOGIC 项 目 , 旨 在 加 强 油气 企业 间 的 联合 研发 ,测试 和 
评估 工作 ,提高 油气 工业 数字 控制 系统 的 网 络 安全 等 级 ,增强 系统 的 安全 防护 措 
施 。 该 项 目的 具体 目的 是 研发 减少 油气 工业 控制 系统 安全 漏洞 或 脆弱 性 的 技 
AR ,然后 验证 这 些 技术 ,最 后 向 石油 和 天 然 气 公 司 推荐 这 些 技术 5 。 

LOGIICI5 是 由 国土 安全 部 资助 ,网 络 安全 研究 和 开发 中 心 拟 定 , 加 州 SRI 
国际 公司 负责 具体 实施 的 。LOGIIC 首次 将 政府 、 工 业界 、 研 究 实验 室 、 网 络 安 
全 服务 商 和 处 理 控 制 技术 服务 商 等 各 方面 的 力量 联合 起 来 ,创建 了 一 个 真实 的 
油气 控制 系统 测试 平台 。 研 究 人 员 用 计算 机 病毒 .网 络 蠕虫 和 网 络 威胁 技术 来 
评估 油气 系统 的 安全 等 级 ,研究 系统 本 身 存 在 的 安全 漏洞 及 相应 的 防护 机 制 。 
目前 ,LOGIIC 已 对 下 属 多 个 项 目 进行 了 研究 ,并 形成 了 最 终 报 告 , 这 些 项 目 包 
括 :安全 仪表 系统 (Safety Instrumented Systems, SIS) Hi H 9279 , E gL fg Jo HE mS 
(Host Protection Strategies. HPS) HAC! ,无 线 项 目 55 ,虚拟 化 项 目 59 ,远程 
Wifexy ACT 。 

国家 电力 关键 基础 设施 的 正常 运转 依赖 于 电力 系统 中 计算 和 通信 网 络 的 安 
人 全。 计算 和 通信 网 络 面临 的 安全 威胁 主要 包括 网 络 安全 和 物理 破坏 两 方面 因 
素 。 其 中 ,网 络 安全 因素 主要 是 指 攻击 者 通过 获得 电力 系统 的 访问 权 , 对 电力 系 
统 进行 拒绝 服务 攻击 及 其 他 网 络 攻 击 。 物 理 破坏 因素 主要 是 指 对 电力 系统 的 想 
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怖 和 袭击 ,自然 灾害 破坏 或 人 为 误 操 作 等 。 因 此 ,为 了 应 对 这 些 网 络 安全 和 物理 破 
坏 威 胁 ,DHS SS T 和 能 源 部 联合 资助 了 TCIPG 项 目 , 旨 在 解决 国家 电网 安全 
防护 中 面临 的 挑战 问题 ,改进 国家 电网 建设 方案 ,提高 国家 电网 的 网 络 和 物理 安 
全 性 和 可 靠 性 。 在 TCIPG 项 目 中 ,超过 35 个 工业 界 和 学 术 界 单位 紧密 合作 ,一 
起 致力 于 研发 和 评估 适用 于 安全 智能 电网 的 应 用 技术 。 该 项 目 主要 关注 对 电网 
系统 中 的 底层 通信 和 数据 设备 的 安全 防护 ,确保 这 些 设备 在 正常 运转 时 发生 网 
络 安全 攻击 时 及 发 生 电 力 突 发 故障 时 都 可 以 安全 可 靠 地 运行 。 


2.4.3 移动 目标 防御 


目前 ,信息 技术 系统 的 配置 是 相对 静止 的 。 例 如 ,地 址 名 称 、 软 件 栈 、 网 络 
和 各 种 配置 参数 等 在 很 长 一 段 时 间 内 基本 是 保持 不 变 的 。 这 种 静态 配置 方式 是 
传统 的 信息 技术 系统 为 了 设计 简单 而 沿袭 下 来 的 ,并 没有 考虑 到 静态 配置 信息 
被 攻击 者 恶意 利用 的 情况 。 然 而 ,这 些 系 统 的 静态 特性 为 攻击 者 发 起 攻击 提供 
了 一 个 非常 大 的 便利 条 件 。 例 如 ,攻击 者 在 发 起 攻击 之 前 ,依据 系统 的 静态 配置 
信息 ,可 以 有 充足 的 时 间 来 制定 攻击 策略 和 具体 的 攻击 方法 。 为 了 应 对 这 一 威 
胁 ,CSD 建立 了 移动 目标 防御 (Moving Target Defense. MTD) i HES, E EW 
发 一 种 系统 动态 配置 能 力 动态 转换 系统 的 状态 和 配置 参数 ,增加 系统 运转 状态 
的 不 确定 性 ,以 此 来 加 大 攻击 者 的 攻击 难度 。 此 外 ,MTD 项 目 还 试图 开发 具有 
弹性 的 系统 硬件 , 即 当 系 统 遭 受 攻击 时 硬件 仍 可 以 保持 其 正常 功能 。 

MTD 侧重 于 研究 如 何 确保 系统 在 遭受 攻击 的 环境 中 仍 能 够 安全 运行 。 具 
体 地 ,在 发 生 网 络 攻击 的 情况 下 ,MTD 将 在 多 个 系统 维度 上 来 控制 系统 配置 状 
态 的 变化 ,增加 系统 的 不 确定 性 ,增加 攻击 者 对 网 络 实施 探测 和 攻击 的 成 本 , 降 
低 攻 击 成 功率 。 表 2-9 给 出 了 MTD 关键 技术 的 特点 。 


2.4.4 防御 技术 实验 研究 试验 台 


由 于 在 操作 系统 及 网 络 中 检测 恶意 软件 本 身 存在 一 定 的 安全 风险 , 现 有 的 
网 络 基础 设施 和 操作 网 络 都 无 法 满足 这 种 需求 。 这 就 需要 通过 搭建 一 个 网 络 安 
全 试验 平台 来 验证 网 络 安全 新 技术 。 目 前 测试 和 验证 新 的 安全 技术 只 能 在 小 到 
中 等 规模 的 研究 实验 室 进 行 ,这 也 就 无 法 有 效 模拟 大 规模 运营 网 络 或 互联 网 遭 
遇 安 全 攻击 的 场景 。 为 了 应 对 这 个 问题 ,DHS 与 美国 国家 科学 基金 会 (National 
Science Foundation. NSF) 合 作 , 于 2004 年 创建 了 防御 技术 实验 研究 (Defense 
Technology Experimental Research. DETER) ixi £4 m EH] 899! 。 


Ho 美国 关键 基础 设施 安全 防护 体系 与 策略 


表 2-9 MTD XS CR HS ROS 


结构 层级 关键 技术 特点 
针对 某 种 具体 的 功能 实现 
基于 软件 修 
应 用 层 TEMEN 软件 修改 
基于 编译 器 方便 ,依赖 于 自动 编译 器 
自 适应 自 同步 动态 地 址 转换 (Adaptive Self- 
Synchronized Dynamic Address Translation. | 变化 简单 ,同步 开销 大 
ASD) 
变化 多 样 , 不 可 预测 。 但 保 
变 网 络 (Mutable N ks, MUTE) 
We | SMC Mutable Networ 持 网 络 中 变化 的 同步 性 
自 清 洗 人 侵 容忍 技术 (Self Cleansing Intrusion 
Tolerance, SCIT) 配置 变化 较 忆 
基于 IPv6 的 移动 目标 防御 (Moving Target s 1 
IPv6 Defense. MT6D) EEA 
3 -- 可 随机 化 IP 地 址 ,对 抗 中 
主机 的 嗅 探 
带 有 自我 防御 的 应 用 (Applications that | 同时 随机 化 IP 地 址 与 端 
Participate in their Own Defense, APOD) 口 ,不 透明 
局域网 级 别 的 P . 
iP — | 网 络 地 址 空间 随机 化 CNetwork Address | 局 域 网 级 别 的 DHCP 更 新 
Space Randomization, NASR) = =e ee hidist worms 
ii S 威胁 
随机 主机 突变 (Random Host Mutation. | 不 需 改 变 终端 主机 配置 , 开 
RHM) 销 较 大 
开放 流 随 机 主机 突变 (OpenFlow Random | 透明 ,开销 小 ,但 不 能 用 于 
Host Mutation, OF-RHM) 传统 网 
指令 集 随 机 化 (Instruction Set Randomization, | 能 阻止 漏洞 扩散 ,需要 硬件 
ISR) 支持 
指令 与 数据 层 | 地 址 空间 随机 化 或 地 址 空间 布局 随机 化 
(Address Space Randomization or Address | 可 利用 硬件 实现 快速 加 密 


Space Layout Randomization. ASLR) 


1. DETER 简介 


DETER 2£ 4% 3: (DEfense Technology Experimental Research Laboratory. 
DETERLab) 是 为 研究 和 定义 大 规模 DDoS 测试 床 而 设立 的 。 该 实验 室 主要 有 
三 个 任务 : @ 设 计 、 构 建 和 操作 具体 支持 安全 研究 的 网 络 测试 床 ; @ 研 发 软件 工 
具 来 帮助 创建 ,监控 和 分 析 复 杂 的 DETERLab 安全 实践 ; 图 促进 建立 一 个 安全 
研究 的 协作 型 联盟 ,例如 ,互联 网 安全 技术 评估 方法 (Evaluation Methods for 
Internet Security Technology ，EMIST) 项 目 就 是 由 宾夕法尼亚 州立 大 学 .McAfee 
实验 室 、 国 际 计 算 机 科学 研究 所 (International Computer Science Institute， 
ICSD HEK SPARTA 公司 .斯坦福 国际 研究 院 (SRI International) 和 加 州 
大 学 戴 维 斯 分 校 共同 承担 。 

DETER 项 目 主 要 是 将 DETER 测试 床 开发 成 先进 的 科学 仪器 ,用 以 提高 网 
络 安全 的 科学 性 。 主 要 实现 以 下 三 个 目标 : 推动 网 络 安全 实验 的 研究 工作 ， 
在 测试 床上 可 以 进行 科学 严谨 并 且 可 重复 的 实验 ; @ 发 展 先进 的 测试 床 技术 ， 
主要 包括 测试 床 联合 技术 和 实验 管理 技术 ; 加 共享 基础 设备 资源 ,扩大 用 户 范 
围 和 数量 。 一 方面 ,通过 共享 数据 、 代 码 、 结 果 , 创 立 知识 社区 等 方式 来 共享 测试 
床 的 基础 设备 资源 。 将 测试 床 使 用 变 得 更 加 简单 和 自动 化 ,方便 用 户 使 用 。 另 
一 方面 ,在 教育 领域 发 展 实验 床 ,扩大 用 户 数量 和 范围 。 发 展 先进 的 测试 床 技 
AR ,能 够 进行 鲁 棒 性 多样 性 以 及 弹性 实验 。 

DETER 测试 床 共有 400 多 个 节点 ,包含 两 部 分 :一 半 在 南 加 州 大 学 信息 学 
院 , 另 一 半 在 加 州 大 学 伯克利 分 校 。DETER 测试 床 使 用 的 是 美国 犹他 州立 大 
学 的 一 种 被 称 为 “Emulab” 的 集群 测试 技术 。Emulab 技术 中 可 以 为 研究 人 员 开 
发 .调试 和 评估 系统 提供 多 种 环境 的 网 络 测试 环境 。 测 试 床 中 的 每 个 节点 都 是 
一 个 具有 大 容量 硬盘 存储 .2GB 内 存 的 PC 机 ,并 且 通 过 4 个 10/100/1000 Mbps 
的 以 太 网 连接 到 可 编程 的 背 板 上 。 在 实验 脚本 的 控制 下 ,Emulab 控制 软件 自动 
地 部 署 节点 并 且 设置 连接 。 在 实验 中 ,用 户 可 以 使 用 服务 器 上 的 Web 界面 通过 
控制 面板 查看 节点 ,重新 加 载 节点 ,或 者 退出 实验 。 当 别 的 节点 失效 时 ,用 户 还 
能 够 手动 重启 。 用 户 可 以 通过 串口 控制 台 进 入 节点 ,也 可 以 通过 用 户 服务 器 连 
接 控制 端口 。 


2. DETER 测试 床 目前 进行 的 项 目 


K 2-10 给 出 了 目前 在 MTD DETER 测试 床上 开展 的 项 目 名 称 及 其 归属 
单位 。 
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表 2-10 MTD DETER 测试 床 目前 进行 的 项 目 


序号 项 目 名称 归属 单位 
1 油气 /天 然 气 管线 的 SCADA 安全 西南 交通 大 学 

2 新 网 络 体系 结构 的 层次 分 类 加 州 大 学 (伯克利 ) 
3 Dos 限制 的 网 络 体系 结构 加 州 大 学 ( 尔 湾 ) 
4 恶意 软件 分 析 的 大 规模 测量 加 州 大 学 (伯克利 ) 


使 高 年 级 学 生 能 够 将 理论 知识 用 于 实验 的 网 络 安全 


5 ue 约旦 科技 大 学 

6 将 计算 分 配 到 志愿 节点 的 平台 南 加 州 大 学 

7 安全 的 DDoS 保护 框架 东京 大 学 

云 计算 的 访问 控制 ,一 个 能 够 教育 和 指导 硕士 博士 研 | 开罗 大 学 工程 学 院 电 子 
究 生 的 研究 方向 和 通信 工程 系 

9 自 适应 DDoS 斯 坦 福 国际 研究 院 

10 | 利用 公共 云 处 理 TCP 限制 加 州 大 学 (伯克利 ) 

11 | 先进 的 计算 机 安全 国立 科学 技术 大 学 

12 | 先进 的 持续 威胁 分 类 Barnstormer Softworks，Ltd 

13 AHcourses 巴 伊 兰 大 学 (以 色 列 ) 

14 | 实验 分 布 式 确定 性 操作 系统 耶鲁 大 学 

15 | 修改 比特 流 的 P2P 客户 端 通信 模式 分 析 布 宜 诺 斯 艾 利 斯 大 学 

16 | 匿名 消息 协议 和 系统 巴 伊 兰 大 学 (以 色 列 ) 

17 | 应 用 层 攻 击 检测 归 因 和 消减 系统 加 州 大 学 圣 巴巴 拉 分 校 

18 | 应 用 加 密 和 网 络 安全 课程 罗 德 福 德 大 学 

19 | 安全 操作 系统 的 体系 结构 纽约 州立 大 学 约翰 杰 学 院 

20 OSPF 协议 规范 的 安全 评估 以 色 列 理工 学 院 

a | a p cs 

22 | 攻击 检测 和 对 策 仿 真 海峡 大 学 (土耳其 ) 

23 | 关键 基础 设施 系统 的 自动 人 侵 检测 和 响应 系统 阿肯色 大 学 布 拉 匡 松 分 校 

"M 加 州 大 学 (洛杉矶 ) 计算 
24 路 由 避免 的 测量 项 目 机 科学 系 


25 


消减 网 络 安全 风险 的 行为 研究 


圣 荷 西 州立 大 学 
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续 表 
序号 项 目 名 称 归属 单位 
26 网 关 边 界 协议 (BGP) 路 径 验证 安全 龙 研 究 实验 室 
27 BGPSEC 执行 测试 斯 巴 达 公司 , 帕 森 斯 公司 
28 生物 启发 安全 计算 匹兹堡 大 学 
29 基于 网 络 流量 分 析 的 僵尸 网 络 检测 丹麦 技术 大 学 
30 Bro-ids 性 能 评价 坎 皮 纳 斯 州立 大 学 (巴西 ) 
31 CCTF 课程 支持 波 莫 纳 加 州 州立 理工 大 学 
喀 拉 拉 大 学 计算 机 科学 
32 僵尸 网 络 表征 系 (印度 ) 
33 | 关键 基础 设施 安全 研究 (CISR) eee 
34 Class account for CSE952 course at UNL 内 布 拉 斯 加 林肯 大 学 
35 Class Project for CSC 453 南 康涅狄格 州立 大 学 
- Clearing house for the TIED GENI prototyping | 南 加 州 大 学 信息 科学 研 
project 5t BT 
37 云 辅 助 路 由 内 华 达 大 学 雷诺 分 校 
美国 宇航 局 (NASA) XE M 
38 | 群集 航天 器 仿真 斯 研究 中 心 
39 cmrex 南 加 州 大 学 
40 网 络 防御 的 认 知 助手 乔治 梅森 大 学 
41 | JPL 的 协作 支持 (Collaborative support for JPL) 南 加 州 大 学 
is E. 拉 多 州 课 程 CS356 (Colorado State Course CS 科罗拉多 州立 大 学 
43 移动 目标 防御 的 指挥 和 控制 佛罗里达 人 机 认 知 研究 所 
44 折 中 的 实体 检测 本 古里 安 大 学 (以 色 列 ) 
45 计算 机 入 侵 检测 约翰 。 霍 普 金 斯 大 学 
46 计算 机 科学 161- 计 算 机 安全 加 州 大 学 (伯克利 ) 
47 | 计算 机 安全 体系 结构 nri: 
48 计算 机 安全 分 类 圣路易斯 大 学 
49 执行 安全 相关 任务 Dr. V. Radha 
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续 表 

序号 项 目 名 称 归属 单位 

50 | 波兰 特大 学 计算 机 系统 安全 课程 实验 室 波兰 特大 学 

51 为 学 生 课程 创建 实验 室 肯 尼 索 州立 大 学 

52 | CS3210 课程 项 目 :软件 安全 和 人 门 鲍 灵 格林 州立 大 学 

53 | CS460 安全 通信 课 波 莫 纳 加 州 州立 理工 大 学 

54 | CS556 科罗拉多 州立 大 学 研究 生计 算 机 安全 课程 科罗拉多 州立 大 学 

55 | CS153 计算 机 安全 课 菲律宾 大 学 

56 | CS283 范 德 比尔 特 的 计算 机 网 络 范 德 比尔 特大 学 

57 “| CS298 特殊 项 目 菲律宾 大 学 

58 | CSCI 6642 博 伊西 州立 大 学 

59 | CSCI551-Spring2014 d a 

60 CSE403 Grad Security Course 西 交 利物浦 大 学 

61 CSI Miniproject 维 拉 诺 瓦 大 学 

62 | CSU-CS557-Spring2014 科罗拉多 州立 大 学 

63 | 网 络 攻击 德州 理工 大 学 

64 | 网 络 入侵 检测 福 德 姆 大 学 

65 | 智能 电网 的 网 络 物理 系统 安全 艾 奥 瓦 州立 大 学 

66 | 网 络 安全 课程 南 弗 吉 尼 亚 社区 学 院 

67 | 网 络 路 径 沃 福 德 学 院 

68 | 网 络 安全 马德里 理工 大 学 (西班牙 ) 

69 网 络 安全 第 二 顶 石 课程 (Cybersecurity Capstone M) | 纽约 州立 大 学 约翰 杰 学 院 

70 | 网 络 安全 课 肯塔基 大 学 

7i Cypress 华盛顿 州立 大 学 

ce. | Bast BI EIE 

73 | DDoS 蠕虫 基线 数据 BIT 

T PSAE sa Envisioneering/ 

15 安全 网 络 协议 声明 的 网 络 技术 (Declarative networking 宾夕法尼亚 大 学 


techniques for securing network protocols) 


续 表 
序号 项 目 名 称 归属 单位 
76 DeepSky 佛罗里达 大 学 
77 | DDoS 攻击 防御 尼 赫 鲁 科 技 大 学 (印度 ) 
78 | 防御 DDoS 匹兹堡 大 学 
79 点 对 点 网 络 的 设计 与 实现 圣 克 劳 德州 立 大 学 
80 为 学 生 学 习 Web 应 用 程序 漏洞 的 网 站 设计 塔 斯 基 吉大 学 
81 Detecting compromised machines 佛罗里达 工业 与 机 械 大 学 
尔 大 学 ( 
82 | 使 用 机 器 学 习 技术 检测 DDoS 攻击 DM TS 
83 DDoS 检测 西北 工程 技术 学 院 ( 印 度 ) 
特 里 布 文大 学 工程 研究 
84 | MET) DDoS 攻击 检测 所 (尼泊尔 ) 
南 加 州 大 学 维特 比 工程 
85 DETER SPI i 
: de 学 院 资讯 科学 研究 院 
86 | DETER-GENI-TASK2 北 卡 罗 来 纳 州立 大 学 
87 | DetMACRO Jn MH XA GR HE ND 
88 为 网 络 安 全 和 网 络 实验 开发 实验 工作 台 南 加 州 大 学 
T Differentiating between distributed pulsating denial of 扎 皮 大 学 信息 技术 研究 所 
Service attacks and flash crowds 
m Digital Ants project for Bio-Inspired Cyber Security 西北 太平 洋 国家 实验 室 
Research 
9 pee Nant Data Integrity Protection through Security 密苏里 大 学 
Monitoring for Just-in-Time News Feeds 
92 分 布 式 计 算 AER ACE 
93 | DISTRIBUTED COMPUTING COURSE 华盛顿 州立 大 学 
94 | 分 布 式 DDoS 攻击 防御 印度 标准 学 会 
95 | 电网 的 多 元 化 网 络 安全 霍华德 大 学 
96 Early filtering of unwanted traffic 南 卡 罗 来 纳 大 学 
97 Educational Project 埃及 不 列 颠 大 学 
98 EE 599: Cybersecurity 肯塔基 大 学 
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续 表 
序号 WAAR 归属 单位 
南 加 州 大 学 信息 科学 研 
99 Enabling Open Flow in DETER 
究 所 
加 州 大 学 信息 科学 
100 Enhanced Hadoop for Bioinformatics m UETPEPTM 
究 所 
101 | 通过 预防 DoS 攻击 保证 可 用 性 克什米尔 大 学 
igs Ensuring — timely communication over network- 巴 伊 兰 大 学 (以 色 列 ) 
DoS-prone link 
103 | 道德 黑客 博 伊 西 州立 大 学 
104 评估 DoS 防御 巴 伊 兰 大 学 (以 色 列 ) 
105 Evaluation of CCNx robustness against DDoS attacks | 加 州 大 学 (洛杉矶 ) 
j MS Pz BL Me 
106 Flood Watch DDoS Defense jn ANTO 
究 所 
107 | for my cloud seminar class 南 加 州 大 学 
FPGA Accelerated Intrusion Detection System using | 南 加 州 大 学 信息 科学 研 
NetFPGA node 究 所 
109 | FRADE 印度 标准 学 会 (ISD 
110 | 未 来 具有 安全 功能 的 互联 网 实验 床 里 约 热 内 卢 联 邦 大 学 
111 Graduate Class on Cryptography and Network Security 维 拉 诺 瓦 大 学 
112 Hands-on labs for Network Security course 德州 农工 大 学 
113 Hardware Enabled Zero Day Protection Def-Logix. Inc. 
加 州 大 学 信息 科学 研 
114 Harvey Mudd College CS125 Networking 学 信息 科学 
究 所 
115 HU Security Class 哈 希 姆 大 学 
116 Illustrate and develop attacks against DNSSEC 信息 科学 研究 所 
a Implementation and mitigation of DDoS attacks on 德里 理工 大 学 
a server 
i Implementing state machine replication for Wide-Area 淡 江 大 学 (台湾 ) 
Networks 
119 Incast 特拉维夫 大 学 (以 色 列 ) 
120 | INCS-620 纽约 理工 学 院 
121 | 信息 安全 南 康涅狄格 州立 大 学 
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续 表 
序号 项 目 名 称 归属 单位 
122 | Install PNNL GridLAB-D in DETERlab 南 加 州 大 学 信息 科学 院 
Installing the Skaion Traffic Generation System on 加 州 大 学 (伯克利 ) 
DETER 
jo how Pini and Emulation Platform for 范 德 保 大 学 
Security Experimentation 
125 | 智能 僵尸 网 络 检测 方法 坎 皮 纳 斯 州立 大 学 
126 Internal instructors project 印度 标准 学 会 
127 Introduction to Computer Forensices 加 拿 大 国王 大 学 学 院 
128 Intrusion Detection Class 约 输 ， 霍 普 金 斯 大 学 
| 达 姆 施 塔 特工 业 大 学 ( 德 
129 Intrusion-Tolerant SMR and Storage Protocols 国 ) 
130 IPv6 Security and Conformance FreeBSD Project 
Raytheon BBN Technologies + 
131 IRON 
Inc( 雷 神 技术 公司 ) 
132 IST Network Security Arena 密西西比 西南 社区 学 院 
133 IT Security &. Forensics(IT 安全 和 取证 ) 特 鲁 罗 彭 威 斯 学 院 
134 | IT@iTech 伊 莫 卡 利 技术 学 院 
135 | IUCC-Test 大 学 之 间 计 算 中 心 (以 色 列 ) 
136 JHUISI-Security Research Testbed 约翰， 和 霍 普 金 斯 大 学 
137 | JPL Research & Technology Development 喷气 推进 实验 室 
138 | KUL 金 斯 顿 大 学 (英国 ) 
138 Lab NONU as part of USC Computer Security 南 加 州 大 学 
Systems Course 
Lab sessions for network security course-graduate 维 拉 诺 瓦 大 学 
level 
141 | Labs for CS6823 纽约 大 学 理工 学 院 
南 加 州 大 学 /信息 科学 研 
142 LACREND dun 
究 所 
143 Learn2Secure 孟菲斯 大 学 
144 | 低 强度 DDoS 攻击 检测 评估 威 灵 顿 维多利亚 大 学 


si 
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续 表 
序号 项 目 名 称 归属 单位 
145 Maestro 洛克 希 德 。 马 丁 公 司 
"T 在 DETER 中 映射 国家 电网 网 络 南 加 州 大 学 ,信息 科学 研 
Mapping PowerGrid network in DETER 究 所 
_ 日 本 国家 信息 通信 技术 
147 | 测量 DDoS 的 细微 迹象 BL TNR 
研究 所 
148 midonet 网 络 虚拟 化 公司 
T Mis First tips arenei Arohiteehire Project 杜 克 大 学 
Computing layer design and implementation 
150 Mosaic: Policy Homomorphic Network Extension 耶鲁 大 学 
151 Nerdsville Security Nerdsville, L. L. C. 
NetPAC aims to provide context and situational 
awareness in the cyber domain by understanding the 
152 21CT, Inc. 
mission contribution of cyber assets and projecting 
the impact of cyber attacks 
州 大 学 ,信息 科学 
153 | 网 络 同步 ei 1 大 学 ,信息 科学 研 
究 所 
154 Network and Computer Security Class 科罗拉多 大 学 
南 加 州 大 学 ,信息 科学 研 
155 Network Processor Design and Programming es = m 
究 所 
加 州 大 学 ,信息 科学 研 
156 Network Processor Programming and Design 南 学 ,信息 科学 
究 所 
157 Network Security 马里 兰 大 学 学 院 分 校 
扎 皮 大 学 信息 研 
158 Network Security PM EUR 
究 所 
159 Network Security Course 里 海 大 学 
160 network security course project 肯 萨 斯 市 密苏里 大 学 
161 Network Security Coursework 华盛顿 州立 大 学 
162 Network Security Projects for CS 1153 俄 克拉 和 荷 马 城 社区 学 院 
163 network security projects for students in my classes 俄 克拉 荷 马 城 社区 学 院 
164 Network Security Techniques course 组 织 科学 学 院 


续 表 
序号 项 目 名 称 归属 单位 
165 | New Experiment 加 州 多 明 戈 山 州 立 大 学 
166 | NNSOA Botnet Detection 密苏里 州立 大 学 


FAST-National University 


167 NS-Spring 2015 of Computer & Emerging 
Sciences 
168 | NUS Project 新 加 坡 国立 大 学 
169 Optimal Design of Cyber Experiments 俄亥俄 州立 大 学 
哥伦比亚 大 学 计算 机 科 
170 Overlay-based DDoS Defense System ae 大 学 计算 机 科 
学 系 
、 格拉 斯 哥 喀 里 多 尼 亚 大 学 
171 | P2P 僵尸 网 络 流量 分 析 与 检测 


(英国 ) 


2.5 其 他 典型 项 目 


2.5.1 国家 基础 设施 保护 计划 项 目 
1. 项 目 简介 


早 在 2006 年 ,国土 安全 部 就 已 发 起 了 国家 基础 设施 保护 计划 (National 
Infrastructure Protection Plan, NIPP)U9 , NIPP 的 目标 是 通过 加 强 对 国家 关键 
基础 设施 和 核心 资源 的 保护 ,来 建立 一 个 物理 上 .信息 网 络 上 更 安全 以 及 故障 恢 
复 能 力 更 强 的 美国 ,以 此 来 阻止 ,减缓 或 消除 由 慌 怖 黎 击 所 带 来 的 著 意 破坏 影 
响 , 加 强国 家 在 袭击 、 自 然 灾害 或 突 发 等 事件 中 的 预防 、 及 时 响应 和 快速 恢复 的 
能 力 。 为 了 实现 这 些 目标 ,NIPP 要 求实 现 以 下 具体 目标 : OSES 0 Ee h IE 
他 灾难 危害 事件 的 信息 ; @ 实 现 一 个 长 远 规划 的 风险 管理 系统 ; 加 最 大 化 核心 
资源 的 使 用 效率 。 

其 中 ,关于 风险 管理 系统 ,NIPP 也 进一步 给 出 了 一 个 如 图 2-19 所 示 的 基本 
框架 。 框 架 中 包含 三 种 关键 基础 设施 元 素 , 即 物理 设备 .网络 空间 、 人 。 涉 及 6 
个 主要 环节 , 即 设 定 目 标 、 识 别 认定 基础 设施 、 风 险 评 定 和 分 析 、 风 险 管理 系统 具 
体 实现 有 效 性 测试 。 
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关键 基础 
设施 元 素 


图 2-19 NIPP 关键 基础 设施 安全 和 恢复 基本 框架 图 


NIPP 的 愿景 .任务 .目标 和 核心 原则 分 别 为 : 

(1) NIPP 愿景 

通过 减少 漏洞 ,最 小 化 安全 代价 ,增强 对 安全 事件 的 识别 、 响 应 与 恢复 能 力 ， 
使 物理 /网 络 关键 基础 设施 保持 安全 性 、 稳 定性 与 弹性 。 

(2) NIPP 任务 

通过 关键 基础 设施 共同 体 的 合作 与 协调 ,对 关键 基础 设施 中 的 物理 /网 络 风 
险 进 行 管理 ,以 此 增强 关键 基础 设施 的 安全 性 、 稳 定性 与 弹性 。 

(3) NIPP 目标 

对 关键 基础 设施 当中 的 威胁 、 漏 洞 和 后 果 进 行 评估 和 分 析 , 并 据 此 开展 风险 
管理 活动 ;降低 关键 基础 设施 的 运行 风险 ,确保 运行 过 程 中 的 人 身 、 财 产 、 网 络 安 
全 ;通过 预先 制定 安全 预案 、 及 时 应 急 响 应 及 快速 恢复 等 方式 ,使 事故 造成 的 负 
面 影响 达到 最 小 化 ,以 此 增强 关键 基础 设施 的 弹性 ;在 关键 基础 设施 共同 体 当 中 
增强 信息 分 析 能 力 ,在 面临 安全 风险 时 提高 管理 者 的 决策 能 力 。 

(4) 核心 原则 

NIPP 当中 建立 了 七 个 核心 原则 ,从 国家 、 区 域 . 州 .地 区 、 部 落 、 地 方 (State， 
Local, Tribal. and Territorial. SLTT)、 所 有 者 和 经 营 者 层面 ,为 增强 关键 基础 
设施 的 安全 性 和 弹性 的 各 项 规划 与 行动 提供 指导 。 具 体 地 , 四 在 关键 基础 设施 
的 安全 性 和 弹性 建设 方面 ,全 面 协调 分 配 核心 资源 ; @ 加 强 理解 跨 部 门 的 相关 
性 和 相互 依赖 性 (如 图 2-20 和 表 2-11 所 示 ) ,加 深 认 识 安全 风险 ,增强 关键 基础 
设施 的 安全 性 和 弹性 ; 四 在 关键 基础 设施 共同 体 中 及 时 分 享 安全 事件 信息 ; 
@ 在 关键 基础 设施 部 门 之 间 , 对 各 个 部 门 的 优势 资源 进行 比较 、 整 合 ,实现 合作 

Aes @ 发 展区 域 和 SLTT 伙伴 关系 ,构建 信息 共享 机 制 , 提 高 关键 基础 设施 安 

全 性 和 弹性 ; @ 对 于 某 些 关键 基础 设施 ,需要 与 国际 社会 合作 ,签署 跨 境 协 作 、 
互助 及 其 他 合作 协议 ; 在 安全 性 和 弹性 设计 中 ,应 综合 考虑 资产 、 系 统 和 网 络 
等 一 系列 因素 。 
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核反应 堆 、 
材料 和 废物 


关键 制造 


图 2-20 关键 基础 设施 相互 依赖 关系 


表 2-11 关键 基础 设施 部 门 的 相互 依赖 性 
部 门 
| 石油 /天 然 气 电力 交通 水 通信 
部 门 
石油 / 为 发 电厂 的 发 电 | 为 交通 工具 A E. i 
天 然 气 机 提供 操作 燃料 | 提供 燃料 。 | i ete 
为 提取 和 传输 设 太吉 让 交通 | 为 水 友和 水 处 | 为 发 身 塔 和 其 他 
电力 | 备 ( 泵 、 发 电机 ) 一 全 路 提供 电能 | 理 装置 提供 传输 设备 提供 
提供 电能 SPEC ESTEE | ie 电能 
交通 “| 运送 物资 /劳动 力 | 运送 物资 /劳动 力 | 一 tal 7 | | 运送 物资 /劳动 力 
生产 用 水 ,冷却 | 交通 工具 操 设备 用 水 、 清 清 
idi oca 用 水 作 冷却 用 水 ENT 
对 车 辆 、 铁 路 
^ 4e om 
通信 | BE [eR a eE ngage 检测 和 控制 水 
A "-- ` Á t = n å un 
WA AGREE] 和 电气 传动 | 定 人 提供 用 | 的 供应 和 质量 
户 服务 信息 
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此 外 ,NIPP 对 美国 的 16 个 基础 设施 行业 进行 了 脆弱 性 评估 ,并 出 具 了 相关 

告 , 这 些 部 门 包括 :化 工 、 商 业 设施 、 大 坝 ( 水 坝 )、 应 急 服 务 、 金 融 服 务 、 政 府 设 

施 、 信 息 技 术 、 交 通 、 通 信 、 关 键 制造 .国防 工业 、 能 源 、 食 品 制造 ,公共 卫生 、 核 反 

应 堆 , 材 料 和 废物 、 供 水 /污水 处 理 行业 。 这 些 行 业 之 间 存 在 着 相互 依赖 的 关系 ， 
需要 一 种 跨行 业 跨 部 门 协调 的 管理 方式 ,具体 管理 结构 如 表 2-12 Bron - 


表 2-12 关键 基础 设施 管理 结构 


关键 基础 设施 合作 咨询 委员 会 
基础 设施 行业 “| 主管 机 构 | 部 门 协 调 委员 会 imma 
(Sector Coordination | (Government Coordination 联盟 
Council SCC) Council GCC) 
化 学 行业 
商业 设施 行业 v 
水 坝 行 业 vV 
应 急 服务 行业 Ti 
通信 行业 国土 安全 部 v 
关键 制造 业 行业 v 
信息 技术 行业 J 
核反应 堆 , 材 料 ， J 州 \ 地 方 政 府 、 
废料 处 理 行业 部 落 协 调 委员 
关键 基 会 (State，Local， 
金融 服 务 行业 “| 财政 部 — a i pie Tia and Teri m 
= 跨 部 门 委员 会 torial Govern- 委员 会 
政府 设施 行业 国土 安全 部 不 包含 委员 会 ment Coordina- = 
总 务 管理 局 SCC ting Council, 
防御 工业 基础 行业 | ”国防 部 J SLTTGCC) 
能 源 行业 能 源 部 J 
a 农业 部 
粮农 行业 卫生 部 J 
公共 卫生 行业 卫生 部 J 
T x2 国土 安全 部 SCC 由 运输 
运输 系统 行业 | 六 通 部 | 方式 分 类 
供水 /污水 处 理 行业 | 环境 保护 局 | V 
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2. 关键 领域 未 来 规划 


根据 NIPP 的 总 体 规划 ,各 基础 设施 部 门 也 分 别提 出 了 各 自 的 未 来 规划 。 
以 下 重点 针对 金融 交通 、 能 源 (包括 石油 ` 天 然 气 .电力 ) .通信 等 领域 的 未 来 规 
划 的 目标 和 相应 措施 以 图 表 的 形式 进行 介绍 。 

(1) 金融 领域 

金融 领域 的 未 来 规划 目标 和 措施 如 表 2-13 所 示 。 


表 2-13 金融 领域 的 未 来 规划 目标 和 措施 
信息 共享 


实现 和 维护 结构 化 程序 ,共享 与 网 络 和 人 身 安全 相关 的 信息 。 在 企业 、 各 部 门 


目标 1 | 的 行业 ,私营 部 门 和 政府 中 ,分 析 安全 威胁 及 安全 漏洞 
在 行业 内 路 行业 ,行业 与 政府 问 ,加 强 安全 威胁 与 趋势 信息 共享 

sg | 通过 与 其 他 关键 基础 设施 部 门 和 国际 合作 伙伴 的 信息 共享 ,建立 各 部 门 间 的 相 
ERK 
通过 结构 化 信息 共享 过 程 和 路 径 , 加 速 信息 共享 


最 优 方 法 


目标 2 | 提高 整个 金融 服务 行业 和 服务 提供 商 的 风险 管理 能 力 和 企业 的 安全 防护 能 力 


促进 NIST 的 网 络 安全 架构 的 广泛 应 用 


措施 
鼓励 发 展 和 使 用 第 三 方 风险 管理 的 最 优 方法 
事件 反应 和 恢复 
gypa | 与 国 土 安全 ,执法 和 情报 社区 ,金融 监管 当局 .其 他 工业 行业 和 国际 合作 伙伴 全 
”| 作 ,以 在 重大 安全 事件 中 进行 及 时 的 响应 和 应 急 恢复 
pp 将 应 对 事件 的 机 制 和 过 程 进行 精简 ,社会 化 
加 强 锻炼 政府 和 私营 部 门 的 事件 响应 过 程 
| 通过 政府 和 行业 之 间 的 协调 ,讨论 政策 和 监管 措施 ,促进 基础 设施 的 安全 性 和 
目标 4 
弹性 
srg, | 酌 定 并 支持 能 够 提高 关键 金融 基础 设施 的 安全 性 和 漳 性 的 政策 
鼓励 公司 .金融 监管 机 构 和 执行 分 支 机 构 之 间 的 密切 协调 ,努力 发 展 政策 
(2) 交通 领域 


交通 领域 的 未 来 规划 目标 和 措施 如 表 2-14 所 示 。 


oğ 
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表 2-14 交通 领域 的 未 来 规划 目标 和 措施 


序号 目标 措施 
。 提高 针对 丽人 怖 缆 击 的 应 对 能 力 及 恢 
i 管理 关键 交通 基础 设施 中 的 物理 .人 和 复 能 力 
网 络 要 素 的 安全 风险 。 推进 关键 运输 业务 的 网 络 系统 的 安 
全 态势 感知 能 力 
。 加 强 关键 交通 基础 设施 的 准备 工作 ， 
以 增强 应 对 所 有 危险 的 恢复 能 力 
利用 运输 系统 部 门 的 响应 .恢复 和 协调 | 。 为 救援 人 员 和 基础 设施 的 维修 队伍 


能 力 ,以 支持 整个 社区 的 弹性 (可 恢复 性 ) 


提供 帮助 
扩大 合作 伙伴 关系 ,提高 社区 和 相 
互 依存 部 门 的 弹性 


在 部 门 .司法 管辖 区 和 学 科 之 间 实 施 有 
效 的 协作 ,加 强 公 共 部 门 和 私营 部 门 之 
间 信 息 的 共享 


优化 跨 部 门 , 司 法 管辖 区 ,学 科 和 公 
共和 私人 利益 相关 者 之 间 的 信息 共 
享 流程 

改善 和 扩大 伙伴 关系 ,包括 相互 依 
存 的 部 门 和 州 、 当 地 、 部 落 和 区 域 的 
合作 伙伴 

通过 支持 一 个 全 国 性 的 报告 机 制 ， 
加 强 运 输 安全 和 安全 问题 的 报告 、 
分 析 和 传播 


加 强 全 球 运输 系统 的 所 有 灾害 防备 和 应 
ZE REJI ,以 维护 美国 的 国家 利益 


(3) 能 源 领 域 
能 源 领域 的 未 来 规划 目标 和 措施 如 表 2-15 所 示 。 


表 2-15 能 源 领 域 的 未 来 规划 目标 和 措施 


扩大 以 风险 为 基础 的 安全 方法 , 包 
括 风险 分 割 ,以 对 出 入 美国 的 人 和 
货物 进行 确认 和 管理 

增强 全 球 供应 链 的 弹性 


风险 管理 
风险 识别 能 源 部 门 风险 控制 
对 关键 基础 设施 的 威胁 、 通过 可 持续 努力 ,降低 风险 ,保障 关键 基 
目标 1 | 漏洞 和 后 果 进 行 评估 与 分 | 目标 | 础 设施 当中 的 人 身 、 物 理 、 网 络 威胁 ,并 
Vr ,并 进行 风险 管理 对 安全 投资 的 成 本 和 收益 进行 解释 


第 2 章 美国 国土 安全 部 


si 


续 表 
风险 管理 
风险 识别 能 源 部 门 风险 控制 
加 强 能 源 产 业 的 网 络 -物理 网 络 安全 :签署 EO 13636-“ 提 高 关键 基 
集成 能 力 础 设施 网 络 安全 ” 


加 强 能 源 基 础 设施 的 可 靠 


安 :改进 自然 环 究 
性 ,发 展 网 络 安全 解决 方案 物理 安全 性 和 弹性 :改进 自然 环境 研究 


委员 会 (Natural Environment Research 


对 电网 可 靠 性 的 未 来 挑战 Council, NERC) 可靠 性 标准 ,建立 工业 
进行 确认 与 准备 ps 
措施 ie 措施 电气 设备 共享 项 目 
对 其 他 关键 基础 设施 领域 ü = : 
进行 协助 ,以 确定 它们 对 eee ee ee 
能 源 部 门 的 依赖 性 为 气候 变化 的 影响 做 准备 ”建立 
climate. gov, 以 提高 公民 意识 
加 强 与 关键 的 基础 设施 供 
应 商 的 联系 ,促进 双方 的 发 展 劳动 力 :提升 劳 动力 的 职业 技能 , 制 
支持 与 交互 定 劳动 力 准 入 机 制 
信息 共享 与 通信 
目标 3 | 在 关键 基础 设施 领域 及 其 社区 分 享 可 操作 的 相关 信息 ,建立 风险 意识 ,改进 相关 决策 
建立 国土 安全 信息 网 络 (Homeland Security Information Network, HSIN) :一 个 
能 够 在 各 个 层面 提供 安全 事件 信息 共享 的 平台 
措施 
建立 信息 共享 分 析 中 心 (Information Sharing and Analysis Center, ISAC) :信息 共 
享 和 威胁 情报 分 析 平 台 
关键 基础 设施 弹性 与 防范 措施 
通过 最 小 化 负面 后 果 、 建 立 事件 推进 计划 和 缓解 措施 ,有 效 地 拯救 生命 和 保证 基 
目标 4 | 本 服务 快速 复苏 的 计划 ,提高 关键 基础 设施 弹性 
在 演习 与 实际 事件 的 过 程 与 善后 当中 ,加 强 技能 学 习 与 适应 
通过 能 源 部 部 署 资源 ,协助 恢复 能 源 系统 ,提供 初始 联络 点 
措施 | 基于 地 理 的 能 源 信息 分 析 环 境 (Environment for Analysis of Geo-Located Energy 


Information,EAGLE-I) :提供 对 能 源 基 础 设施 的 监视 功能 


(4) 通信 和 领域 
通信 和 领域 的 未 来 规划 目标 和 措施 如 表 2-16 所 示 。 
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表 2-16 通信 领域 的 未 来 规划 目标 和 措施 


序号 目标 措施 
* 对 主干 网 进行 防护 
。 在 为 有 关 人 员 提 供 通信 资产 的 过 程 中 ， 
标准 化 筛选 过 程 
保护 和 提高 通信 设施 的 整体 物理 
S T "| iq D] E 进行 实践 
1 和 逻辑 健康 对 访问 控制 和 内 部 威胁 缓解 进行 实践 


操作 
在 产业 和 政府 之 间 ,促进 关 于 威胁 和 及 
弱 性 的 信息 共享 


在 关键 通信 服务 中 断 事件 当中 迅 
速 重 建 ,并 减轻 级 联 效 应 


设立 一 系列 程序 与 规程 ,以 迅速 应 对 危 
机 当中 对 通信 基础 设施 的 影响 ,并 保证 
危机 期 间 基 础 设施 的 继续 运作 
(Continuity of Operations,COOP) 能 力 


提高 部 门 的 国家 安全 和 应 急 准 备 
3 能 力 , 与 联邦 、 州 ,地 方 、 部 落 、 国 际 
和 私人 部 门 合作 ,以 降低 风险 


3. 2016 年 NIPP 发 展 与 实施 目标 


针对 各 方面 威胁 进行 模拟 和 演习 的 开 
发 ,并 参与 到 其 中 

发 展 教育 项 目 ,增强 通信 技术 培训 ,对 紧 
急 情 况 下 潜在 的 薄弱 环节 进行 学 习 

在 相关 服务 项 目 当中 ,参加 会 议 、 展 会 和 
推广 活动 

开发 和 参与 跨 部 门 威胁 练习 

开发 和 参与 跨 部 门 的 工作 小 组 


美国 国土 安全 部 发 布 (国家 基础 设施 保护 计划 安全 性 和 弹性 的 挑战 9 , 确 
定 了 在 2016 年 度 ,在 NIPP 安全 性 与 弹性 方面 需要 解决 的 一 系列 挑战 ,并 提出 


了 发 展 与 实施 目标 。 


(1) 美国 州 际 天 然 气 协会 一 一 改善 网 络 威胁 信息 共享 
目标 : 促进 和 鼓励 关于 网 络 威胁 信息 的 自动 共享 。 


(2) 湾 区 灾难 恢复 中 心 


建立 工具 箱 ,增强 区 域内 基于 风险 的 蜂 部 门 决 
策 能 力 ,提升 关键 基础 设施 安全 性 和 弹性 


目标 : 将 可 定制 .可 扩展 的 产品 进行 集成 ,建立 工具 箱 , 增 强 跨 部 门 的 信息 
共享 和 决策 能 力 ,提高 区 域 关 键 基础 设施 安全 性 和 恢复 力 。 
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(3) 美国 自来水 三 协 会 一 一 提高 美国 中 小 水 务 系统 的 网 络 安全 

目标 : 提供 免费 实验 场地 ,为 水 务 行业 管理 者 和 经 营 者 提供 网 络 资源 。 利 
用 这 些 资 源 ,发 现 网 络 安全 漏洞 ,并 制定 详细 .可行 的 安全 防护 措施 来 解决 这 些 

(4) 芝加哥 通过 团队 合作 来 培育 工业 安全 性 与 弹性 (Chicago Fostering 
Industry Resilience and Security through Teamwork，ChicagoFIRST ) 的 计 
划一 一 建立 区 域 联盟 安全 门户 网 站 

目标 : 开发 一 个 门户 网 站 和 工作 区 ,为 关键 金融 行业 公司 与 公共 部 门 机 构 
提供 联系 ,以 在 紧急 情况 发 生 时 获取 安全 事件 信息 。 该 系统 包括 应 急 操作 程序 、 
消息 传递 系统 ,以 及 物理 安全 、 网 络 安 全 和 监管 团队 。 
公共 复 框架 

目标 : DE 以 增强 地 区 灾难 中 的 响应 机 制 , 提 高 
灾后 恢复 能 力 。 

(6) 飞 马 项 目 一 一 建立 一 个 全 国 性 的 危机 事件 响应 .恢复 和 访问 流程 标准 

目标 : 开发 一 个 危机 事件 响应 .恢复 和 访问 流程 标准 ,加 强 与 紧急 服务 部 门 
工作 协调 委员 会 的 合作 ,增强 各 部 门 在 危机 事件 中 的 准备 和 响应 能 力 。 


2.5.2 下 一 代 网 络 基础 设施 项 目 


1. 项 目 简介 


国土 安全 部 科学 技术 司 和 金融 行业 从 业者 意识 到 ,金融 领域 关键 基础 设施 
面临 着 三 大 挑战 : 攻击 者 在 我 们 未 察觉 的 情况 下 ,一 直 在 渗透 攻击 我 们 的 金 
融 系统 和 网 络 ; @ 金 融 领 域 非 网 络 安全 部 门 的 从 业 人 员 对 自身 系统 和 网 络 的 安 
全 态势 理解 不 准确 ,不 够 全 面 , 往 往 是 安全 事件 发 生 以 后 才 发 觉 ; 名 金融 网 络 运 
营 者 缺乏 网 络 安全 应 急 响 应 和 消除 安全 攻击 的 技能 。 

因此 ,国土 安全 部 科学 技术 司 创建 了 下 一 代 网 络 基础 设施 (Next Generation 
Cyber Infrastructure,NGCI) 项 目 , 该 项 目 隶属 于 顶点 (Apex) 项 目 553 BEd 
供 一 系列 金融 服务 行业 的 先进 安全 技术 和 工具 ,以 应 对 针对 美国 网 络 系统 的 攻 
击 。NGCI 致力 于 为 金融 部 门 提供 五 个 主要 功能 : 

(1) 动态 防御 

当前 ,利用 不 断 变化 的 内 部 和 外 部 网 络 结构 ,增加 敌人 对 网 络 布局 进行 探 
测 .攻击 和 利用 的 难度 。 然 而 ,这 种 方式 也 可 能 因为 一 个 潜在 的 攻击 者 ,而 大 大 
增加 了 安全 防护 的 经 济 成 本 。 
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(2) 网 络 描述 

对 各 资产 的 内 部 通信 模式 提供 实时 的 网 络 分 析 , 在 网 络 事件 中 提供 及 时 异 
常 检测 和 快速 反应 的 能 力 。 

(3) 恶意 软件 检测 

提高 检测 和 防御 恶意 软件 的 能 力 , 对 可 能 的 恶意 软件 代码 的 变种 进行 预测 。 

(4) 软件 质量 保证 

降低 误 判 率 , 加 快 分 析 时 间 , 在 复杂 的 软件 代码 中 增加 发 现 软件 缺陷 的 可 
能 性 。 

(5) 内 部 威胁 

在 网 络 层 之 下 检测 是 否 存在 数据 泄露 的 可 能 ,对 潜在 的 内 部 威胁 进行 预测 
和 安全 建 模 。 

2. 技术 路 线 及 项 目 规划 


NGCI 利用 现 有 的 联邦 政府 资助 和 私营 部 门 企业 的 研究 工作 ,提供 所 需 的 
功能 。 技 术 开 发 方法 灵活 、 可 重复 ,有 5 个 不 同 的 阶段 9 : 

(1) 搜寻 候选 技术 。 

根据 网 络 顶 点 审查 组 (Cyber Apex Review Team,CART) 提 出 的 安全 需求 ， 
对 候选 技术 进行 包括 工业 活动 .技术 浏览 .技术 过 滤 到 实践 等 分 析 筛 选 工作 。 

(2) 技术 评估 

使 用 CART 成 员 定义 的 表征 体系 结构 ,对 候选 技术 进行 演示 、 测 试 和 评估 。 

(3) 系统 开发 与 测试 

进一步 在 公司 测试 环境 中 对 产品 进行 测试 和 评估 。 在 整个 过 程 中 ,CART 
全 程 参 与 并 反馈 意见 ,使 用 “建立 -测试 -重复 ”模型 ,进行 系统 开发 和 测试 。 

(4) 系统 集成 

基于 测试 和 评估 结果 ,根据 需要 ,对 技术 产品 进行 集成 和 完善 。 

(5) 产业 化 

通过 金融 机 构 ,管理 安全 服务 提供 商 或 风险 资本 的 内 部 操作 ,制定 和 实施 适 
当 的 过 渡 或 商业 化 策略 ,建立 支持 模型 ,提供 开源 选项 。 
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第 3 章 美国 能 源 部 


1977 年 ,美国 联邦 政府 整合 了 分 散在 40 多 个 联邦 机 关 的 能 源 管辖 机 构 ,成 
立 了 能 源 部 (Department of Energy, DOE). 《能源 部 组 织 法 》 于 1977 年 以 较 少 
争议 情况 下 在 国会 获得 通过 。 美 国 能 源 部 成 立 之 后 ,负责 制定 有 效能 源 政策 和 
管理 能 源 事务 ,具体 包括 实施 协调 统一 的 国家 能 源 政策 、 建 立 统一 的 节能 战略 、 
开发 新 兴 再 生 能 源 , 确 保 成 本 合理 和 充足 可 靠 的 能 源 供应 等 。 

图 3-1 给 出 了 能 源 部 2016 年 组 织 结构 ,目前 能 源 部 设 有 : 核 安全 和 国家 和 
安全 管理 办 公 室 ,科技 和 能 源 办 公 室 ,管理 和 绩效 办 公 室 及 直属 部 长 管辖 的 办 公 
室 及 其 他 机 构 。 能 源 部 还 设置 了 能 源 部 长 咨询 ,政策 .能 源 、 信 贷 审查 、 核 安全 等 
一 系列 委员 会 ,其 分 工 明确 ,相互 独立 ,以 辅助 能 源 部 在 能 源 领 域 制 定 较 为 全 面 
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图 3-1 美国 能 源 部 组 织 结构 图 
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和 高 效 的 政策 和 战略 。 此 外 ,能 源 部 还 设立 了 联邦 能 源 监 管 委员 会 .总 监察 办 公 
室 和 巡视 官 ,主要 实施 其 对 行政 管理 项目 实 施 监 督 监察 的 职责 。 能 源 部 的 部 门 
架构 也 在 根据 国家 能 源 需 求 和 国内 国际 能 源 形势 不 断 做 出 调整 。 


3.1 美国 能 源 部 国家 实验 室 基本 情况 


国家 实验 室 是 国家 最 高 技术 水 平 的 代表 ,其 核心 使 命 就 是 满足 国家 战略 需 
求 ,瞄准 国家 的 战略 发 展 目标 和 世界 科技 前 沿 方向 ,在 科技 领域 开展 重大 技术 攻 
关 和 前 沿 基础 研究 工作 。 

如 图 3-2 所 示 ,美国 的 17 个 国家 实验 室 由 美国 能 源 部 的 三 个 办 公 室 管理 。 
其 中 ,科学 办 公 室 管理 10 个 ,能 源 办 公 室 管理 4 个, 核 安 全 办 公 室 管理 3 个 。17 
个 实验 室 中 ,只 有 国家 能 源 技术 实验 室 是 能 源 部 单独 管理 和 运营 的 。 其 余 16 个 
都 是 以 "政府 所 有 -合同 制 管理 ”的 方式 来 进行 运营 的 ,这 16 个 实验 室 的 实际 运 
营 者 包括 大 学 .公司 和 联合 组 织 等 法 人 单位 。 这 些 实验 室 的 具体 管理 方式 如 
K 3-1 所 示 。 
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图 3-2 美国 能 源 部 17 个 国家 实验 室 地 理 分 布 图 " 


£st “美国 能 源 部 g 
表 3-1 美国 能 源 部 17 个 国家 实验 室 管理 方式 一 览 表 
编号 实验 室 名 称 能 源 部 管理 部 门 运营 者 
实验 竺 化 州立 大 学 
j 艾 莫 斯 实验 室 科学 办 公 室 爱 葡 华 州立 大 学 
Ames Laboratory Towa State University 
5 阿 贡 国家 实验 室 科学 办 公 室 | 芝加哥 大 学 
Argonne National Laboratory University of Chicago 
劳伦斯 伯克利 国家 实验 室 Š 
7 加 利 福 尼 亚 大 学 
2 Lawrence Berkeley National 科学 办 公 室 . 
University of California 
Laboratory 
: , 普林斯顿 大 学 
4 Princeton Plasma Physics 科学 办 公 室 . 
Princeton University 
Laboratory 
斯 坦 福 直线 加 速 器 中 心 - 
: 斯 坦 福 大 学 
5 Stanford Linear Accelerator 科学 办 公 室 
Stanford University 
Center 
6 Racine 科学 办 公 室 Fermi Research Alliance LLC 
ermi National Accelerator 学 办 公 
费 米 研究 联盟 责任 有 限 公司 
Laboratory 
橡树 岭 国家 实验 室 田纳西 大 学 与 巴特 尔 纪念 研究 所 
7 Oak Ridge National 科学 办 公 室 University of Tennessee and Battelle 
Laboratory Memorial Institute 
托马斯 杰斐逊 国家 加 速 器 装置 
' z 杰 斐 示 科学 协会 
8 Thomas Jefferson National 科学 办 公 室 
Jefferson Science Associates 
Accelerator Facility 
布鲁克 海 文 国家 实验 室 
海 文科 学 协会 
9 Brookhaven National 科学 办 公 室 MA ae sl 
Brookhaven Science Associates 
Laboratory 
西北 太平 洋 国家 实验 室 
" . k 巴特 尔 纪念 研究 所 
10 | Pacific Northwest National 科学 办 公 室 x 1 
Battelle Memorial Institute 
Laboratory 
劳伦斯 利 弗 莫 国 家 实验 室 劳伦斯 利 弗 莫 国 家 安全 责任 有 限 公 司 
1 Lawrence Livermore 核 安全 办 公 室 Lawrence Livermore National 
National Laboratory Security LLC 
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续 表 
编号 实验 室 名 称 能 源 部 管理 部 门 运营 者 
nei P 洛斯 阿拉 英 斯 国家 安全 责任 有 限 公司 

12 Los Alamos National 核 安全 办 公 室 á 

Los Alamos National Security LLC 
Laboratory 
桑 迪 亚 国家 实验 室 桑 迪 亚 公司 
1 安全 办 公 
à Sandia National Laboratory 核 安全 办 公 室 Sandia Corporation 
国家 可 再 生 能 源 实验 室 


可 持续 能 源 联盟 责任 有 限 公 司 


14 | National R ble E 能 源 办 公 室 
PAORA ERAS ASE ENE Alliance for Sustainable Energy LLC 


Laboratory 


| | Him ee m 伯 特 立 能 源 联盟 
Idaho National Laboratory i Battelle Energy Alliance 
萨 瓦 纳 河 国家 实验 室 


萨 瓦 纳 河 核能 解决 方案 责任 有 限 公司 


Savannah River Nuclear Solutions LLC 


i 


16 Savannah River National 能 源 办 公 


Laboratory 


17 |National Energy Technology| 能源 办 公 室 


Laboratory 


能 源 部 


Department of Energy 


能 源 部 的 电力 调度 与 能 源 可 靠 性 办 公 室 (Department of Energy's Office of 
Electricity delivery &- energy reliability, DOE-OE) 也 是 能 源 部 内 部 一 个 非常 重要 的 
办 公 室 。 该 办 公 室 负责 管理 着 能 源 部 在 工业 控制 系统 安全 方面 最 为 著名 的 国家 
SCADA 测试 床 (National SCADA Test Bed,NSTB) 项 目 中 。 能 源 部 管辖 着 7 个 国 
家 实验 室 (橡树 岭 . 西 北 太 平 洋 、 洛 斯 阿拉 葛 斯 、 爱 达 荷 . 阿 贡 、 桑 迪 亚 、 劳 伦 斯 伯克利 
国家 实验 室 ) 是 NSTB 项 目的 主要 参与 单位 。NSTB 项 目 组 织 架 构 如 图 3-3 所 示 。 

接 下 来 ,3. 2 节 介 绍 美国 能 源 部 针对 能 源 行业 控制 系统 的 安全 防护 所 制定 
的 安全 防护 技术 路 线 。3. 3 节 介 绍 国 家 SCADA 测试 床 NSTB 平台 的 总 体 情 
UL ,并 以 NSTB 作为 主线 ,分 别 介绍 了 相关 国家 实验 室 的 各 自 内 容 和 在 NSTB 
项 目 中 的 工作 情况 。 


3.2 能 源 行业 控制 系统 安全 防护 技术 路 线 


能 源 行业 工业 控制 系统 是 支撑 电力 .煤炭 、 天 然 气 .石油 石化 等 一 系列 与 能 
源 生产 调度 相关 的 控制 系统 ,是 国家 关键 基础 设施 的 重要 组 成 部 分 ,而 目前 伊 
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图 3-3 美国 国家 SCADA 测试 床 项 目 架 构 


朗 、 乌 克 兰 等 国 频 频 发 生 的 电力 、 核 设施 工控 网 络 安全 事件 不 断 地 警醒 着 世人 ， 
能 源 设施 的 网 络 安全 防护 能 力 已 直接 关系 到 国家 的 能 源 安全 问题 ,必须 重视 建 
设 与 能 源 设施 配套 的 安全 防御 机 制 和 技术 ,才能 保证 国家 能 源 安全 。 

美国 能 源 部 为 了 加 强 能 源 行业 的 系统 安全 防护 水 平 ,分 别 于 2006 年 和 
2011 年 发 布 了 两 份 关 于 能 源 行业 控制 系统 安全 的 规划 文档 8 外 。 这 两 份 文档 都 
以 10 年 为 一 个 总 的 时 间 周 期 ,按照 短期 (0 一 3 年 ) .中 期 (4 一 7 年 ) 和 长 期 (8 一 10 
年 ) 三 种 目标 分 别 对 能 源 行业 的 控制 系统 安全 防护 做 出 了 具体 的 发 展 规划 和 
要 求 。 


3.2.1 2006 年 技术 路 线 


2006 年 技术 路 线 的 总 体 目标 : 到 2015 年 ,能 源 行业 控制 系统 在 工作 周期 中 
的 各 个 环节 (设计 、 安 装 、 运 营 和 维护 ) ,都 具备 抵抗 恶意 攻击 的 能 力 ,并 且 配 套 的 
软 硬 件 防 护 手段 不 会 影响 关键 系统 的 功能 。 

2006 年 技术 路 线 中 ,能 源 部 制定 了 四 个 战略 方向 : 

(1) 明确 安全 态势 : 企业 应 该 彻底 地 摸 清 他 们 目前 的 安全 态势 ,以 此 来 找 出 
系统 脆弱 点 ,并 采取 相应 的 措施 来 消除 安全 隐患 。 能 源 部 将 帮助 能 源 设施 运营 者 
们 ,提高 其 自动 化 安全 态势 感知 的 能 力 和 发 生 故障 事件 后 的 及 时 自我 修复 能 力 。 

(2) 研发 可 靠 的 安全 防护 技术 : 当 识 别 出 安 全 风险 以 后 ,企业 和 能 源 部 应 提 
出 相应 的 解决 方案 来 降低 系统 风险 。 此 外 ,通过 整合 安全 防护 技术 ,在 下 一 代 控 
制 系统 的 架构 和 组 件 中 应 该 能 提供 一 种 内 生 的 端 到 端 安全 服务 。 
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C3). 研发 人 侵 检测 技术 和 制定 应 急 响 应 策略 : 能 源 行 业 的 控制 网 络 应 逐步 
具有 入 侵 检测 和 应 急 响 应 能 力 。 

(4) 保持 安全 改进 : 能 源 设 施 运营 者 .管理 者 和 政府 应 齐心 协力 地 来 不 断 加 
强 安全 防护 措施 。 

同时 ,能 源 部 在 该 文档 号 中 还 针对 这 四 个 战略 方向 列举 了 具体 的 工作 

(1) 建立 一 个 美国 政府 国家 级 安全 事件 和 信息 共享 环境 和 平台 ;制定 一 个 
大 家 普遍 认同 的 用 于 测定 安全 态势 的 清晰 准确 度量 标准 ;研发 一 个 用 于 模拟 网 
络 攻击 和 响应 的 仿真 工具 。 

(2) 研究 适用 于 SCADA 控制 网 络 与 企业 网 络 连 接 的 最 优 方式 ,提高 陈旧 
通信 系统 中 的 通信 和 计算 性 能 ,以 此 来 支持 加 入 安全 解决 方案 ;研究 确立 适用 于 
变电站 和 控制 中 心 之 间 的 网 络 安全 防护 实施 方案 ;研发 一 种 不 会 影响 控制 系统 
7X24 全 天 候 运行 的 补丁 修复 方案 ,并 为 控制 系统 研发 一 种 更 具 鲁 棒 性 的 操作 
系统 ;研发 即 插 即 用 的 安全 模块 和 经 济 实用 的 网 关 设 备 ,该 类 模块 和 设备 包含 防 
火 墙 \, 和 人 侵 检测 和 抗 病毒 的 功能 ,并 且 要 尽 可 能 减少 对 主机 运行 的 影响 。 

(3) 研发 包括 安全 事件 报告 和 可 视 化 展示 的 自动 化 安全 事件 信息 数据 收集 
工具 ;制定 一 套 确认 事故 报告 原因 并 提供 解决 方案 的 流程 规范 ,提高 信息 共享 和 
事故 报告 工作 效率 ;提供 安全 事件 响应 培训 课程 .技术 和 工具 ,研发 人 侵 检测 和 
防御 系统 来 为 网 络 和 主机 提供 更 加 鲁 棒 的 应 用 。 

(4) 研发 安全 数据 交互 和 通信 的 标准 规范 ,提供 信息 安全 培训 课程 ;建立 与 
学 校 合作 的 项 目 来 促进 关于 控制 系统 安全 的 教学 工作 ;通过 立法 或 其 他 鼓励 机 
制 , 加 快 建立 信息 共享 机 制 ,以 此 来 持续 不 断 地 加 强 和 改进 能 源 行业 关键 基础 设 
施 安全 防护 技术 。 


3.2.2 2011 年 技术 路 线 


2011 年 总 体 目 标 : 到 2020 年 ,实现 “能 源 传输 弹性 系统 ”(resilient energy 
delivery systems) ,完成 系统 设计 .部 署 ,运营 、 维 护 等 一 系列 的 工作 ,形成 能 够 抵抗 
网 络 安全 攻击 且 能 够 在 被 攻击 情况 下 维持 能 源 行业 控制 系统 关键 功能 的 能 力 。 

能 源 部 在 2006 版 技术 路 线 方向 上 做 了 一 些 改进 和 补充 ,重新 制定 了 五 个 战 
略 方向 :培养 安全 文化 和 意识 ,提高 风险 评估 和 监控 能 力 , 研 发 新 型 保护 措施 , 正 
确 处 理 安全 事件 的 机 制 ,持续 保持 安全 改进 。 与 2006 版 技术 路 线 相 比 ,2011 
版 外 增加 了 培养 安全 文化 与 意识 的 要 求 ,并 将 之 前 的 研发 人 侵 检测 技术 和 应 急 
响应 策略 提升 为 正确 处 理 安全 事件 机 制 。 同 时 ,能 源 部 也 针对 这 五 个 战略 方向 
列举 了 具体 的 工作 : 

COD 培养 安全 文化 与 意识 :研发 一 个 可 供 设 备 供应 商 和 拥有 者 们 进行 脆弱 
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性 评估 的 工具 ;建立 实现 一 个 系统 脆弱 性 和 补丁 修复 管理 培训 项 目 , 并 制定 相关 
政策 ;开展 工业 控制 系统 相关 专业 认证 工作 。 

(2) 提高 风险 评估 和 监控 能 力 :针对 能 源 输送 系统 ,制定 一 套 安全 威胁 场景 
和 对 应 的 安全 风险 评估 指标 ,确定 安全 态势 的 描述 特征 ;根据 当前 缓解 网 络 风险 
水 平 的 需求 来 标定 能 源 输送 系统 的 安全 等 级 ;研发 一 套 风险 评估 工具 ,用 以 评估 
系统 脆弱 性 .制定 风险 控制 优先 策略 和 设计 安全 代价 估算 方法 ;开发 实时 安全 状 
态 监测 可 视 化 工具 ,以 此 来 标定 系统 的 安全 基准 状态 ;提出 能 源 输 送 系 统 安全 基 
准 , 并 在 部 署 新 解决 方案 后 观测 比较 安全 态势 的 变化 。 

(3) 研发 新 型 保护 措施 :分 别 开 发 适用 于 静态 和 动态 的 代码 自动 化 审查 工 
具 ; 开 发 一 种 支持 动态 裁剪 可 定制 化 的 安全 防护 机 制 ,为 所 有 系统 和 设备 的 授权 
和 管理 工作 提供 按 需 安全 服务 ;为 应 用 程序 和 通信 设备 制定 白 名 单 功能 ;为 通信 
链 路 研发 可 信 平 台 模块 和 可 信和 网 络 ; 开 发 者 和 运营 者 共同 实现 一 个 包括 搭建 、 集 
成 和 运营 全 过 程 的 安全 弹性 能 源 输送 系统 。 

(4) 正确 处 理 安全 事件 :针对 安全 事件 的 网 络 或 物理 影响 ,开发 一 种 能 够 稀 
量 系统 弹性 程度 的 方法 和 衡量 标准 ;开发 实时 攻击 检测 ,修复 和 恢复 工具 来 应 对 
网 络 安全 事件 ;提高 在 安全 事件 响应 和 恢复 的 过 程 中 遏制 安全 攻击 的 能 力 ; 通 过 
建立 安全 边界 划分 来 研发 一 种 能 够 控制 和 阻止 人 侵 攻击 的 能 力 。 

(5) 持续 保持 安全 改进 :建立 一 个 全 球 性 的 具有 隐私 保护 功能 的 信息 共享 
门户 (如 漏洞 发 布 平台 或 论坛 ) ;建立 一 个 公认 的 控制 系统 脆弱 性 报道 发 布 的 流 
程 ; 完 善政 府 鼓励 研发 机 制 , 激 励 企 事业 单位 .学校 等 科研 机 构 对 关键 基础 设施 
安全 防护 研发 工作 的 持续 投入 。 


3.3 国家 SCADA 测试 床 NSTB 


国家 SCADA WRH H (National SCADA Test Bed, NSTP)U? ,由 能 源 部 
的 电力 调度 与 能 源 可 靠 性 办 公 室 (Department of Energy’s Office of Electricity 
delivery & energy reliability, DOE-OE) 负 责 , 通 过 结合 国家 实验 室 拥有 的 先进 
硬件 设备 和 相关 专业 人 员 的 研究 、 开 发 .分 析 能 力 ,发 现 和 解决 SCADA 系统 的 
关键 安全 问题 ,应 对 能 源 行业 所 面临 的 安全 威胁 ,减少 网 络 攻击 给 能 源 控制 系统 
所 带 来 的 破坏 。 

NSTB 项 目 由 DOE-OE 创建 。DOE-OE 是 能 源 部 负责 创建 更 加 现代 化 的 、 
有 弹性 的 、 安 全 的 电力 传输 基础 设施 的 最 主要 的 办 公 室 。DOE-OE 的 主要 目标 
就 是 :促进 .主导 和 管理 国家 在 电网 现代 化 建设 ,能 源 基础 设施 安全 防护 ,能 源 系 
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统 从 安全 事件 或 故障 中 恢复 等 方面 的 研发 投入 ,以 此 来 满足 美国 对 可 靠 、 高 效 、 
弹性 能 源 基础 设施 的 需求 。 为 了 实现 该 目标 ,并 且 减 少 由 于 网 络 攻击 给 能 源 控 
制 系统 所 带 来 的 破坏 ,DOE-OE 在 2003 年 创建 了 NSTB 项 目 。NSTB 项 目 旨 在 
提高 控制 系统 的 安全 ,并 且 保 护 能 源 行业 基础 设施 和 能 源 设 施 所 服务 的 其 他 行 
业 设 施 。NSTB 项 目 与 能 源 行业 控制 系统 安全 防护 技术 路 线 、 美 国 国家 政策 、 联 
邦 政府 角色 、DOE-OE 目标 .NSTB 设施 和 资源 及 其 他 相关 部 门 的 目标 是 相 辅 相 
成 的 。 并 且 ,NSTB 项 目 对 于 实现 DOE-OE 的 目标 发 挥 着 至 关 重 要 的 作用 。 

NSTB 项 目 与 国家 实验 室 紧密 相关 。 美 国 能 源 部 目前 管辖 着 的 17 个 国家 
实验 室 大 多 数 是 核 领域 的 知名 实验 室 。 随 着 近年 来 国家 对 工业 控制 系统 安全 越 
来 越 重视 ,其 中 多 个 实验 室 的 研究 内 容 也 都 逐渐 与 工业 控制 安全 相关 。 这 些 实 
验 室 也 在 工业 控制 安全 及 关键 基础 设施 安全 方面 投入 了 大 量 的 人 力 、 物 力 、 财 
力 , 并 开展 了 一 系列 研发 项 目 。 其 中 ,NSTB 项 目 汇集 了 阿 贡 、 爱 达 荷 .劳伦斯 伯 
克利 .洛斯 阿拉 莫 斯 、 橡 树 岭 ,西北 太平 洋 和 桑 迪 亚 国家 实验 室 的 专家 和 专业 人 
士 , 搭 建 了 一 个 国家 级 SCADA 测试 床 。 


3.3.1 NSTB 研究 内 容 
如 图 3-4 所 示 ,NSTB 项 目的 实施 需要 依据 能 源 部 控制 系统 安全 技术 路 线 ， 


DOE NSTB Planning Space 
Control Systems Roadmap 


Policy Guidance 

* HSPD-7 

* GAO Reports 
NIPP 


* National Strategy to Secure 


NSTB Facilities 
and Resources 


图 3-4 NSTB 计划 涉及 的 范围 (来 源 : 文献 [6] Exhibit 2.2 DOE NSTB Planning Space) 
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DOE-OE 目标 等 多 项 国家 级 政策 和 方针 ,结合 NSTB 项 目 涉及 的 设施 和 资源 ， 
在 联邦 政府 及 相关 部 门 的 配合 和 支持 下 来 完成 既定 的 任务 和 目标 。NSTB 项 目 
的 主要 任务 加 包含 四 个 方面 : 

(1) 提高 工业 控制 系统 对 网 络 安全 漏洞 问题 的 认 知 能 力 ,识别 .评估 和 解决 
当前 的 SCADA 系统 漏洞 ; 

(2) 针对 现 有 控制 系统 的 安全 问题 ,通过 测试 床 测试 研究 并 开发 出 短期 应 
对 方案 和 风险 缓解 策略 ; 

(3) 设计 下 一 代 工 业 控 制 系统 安全 架构 ,建设 智能 、 安 全 、 可 靠 的 控制 系统 
和 基础 设施 系统 ; 

(4) 研究 制定 国家 标准 和 指导 方针 。 

如 图 3-5 所 示 ,为 了 实现 NSTB 上 述 四 方面 的 主要 任务 ,NSTB 重点 研究 以 
下 三 个 内 容 中 ， 

(1) 系统 脆弱 性 评估 : 对 电力 、 石 油 和 天 然 气 等 关键 行业 的 控制 系统 进行 安 
全 评估 ,促进 新 一 代 控 制 系统 的 研发 工作 ;鼓励 能 源 行业 厂商 和 运营 者 及 时 修复 
安全 漏洞 ,制定 下 一 代 的 系统 设计 和 实施 规范 。 

(2) 综合 风险 分 析 : 通过 了 解 现 有 的 网 络 安全 态势 来 确定 能 源 行 业 控制 系 
统 的 安全 风险 ,制定 解决 方案 ;开发 一 套 端 到 端 、 网 络 威胁 和 漏洞 分 析 工 具 。 

(3) 研发 新 一 代 控 制 系统 : 加 强 下 一 代 控 制 系统 的 内 生 安 全 性 ,专注 于 设计 
创新 体系 结构 ,研发 新 型 控制 系统 安全 组 件 和 安全 通信 技术 。 


3.3.2 NSTB 项 目 实验 室 分 工 


在 NSTB 项 目 研 发 中 ,各 实验 室 的 基本 分 工 呈 如 下 (参与 项 目的 实验 室 如 
图 3-6 所 示 ): 

d) 爱 达 荷 国家 实验 室 (INL) 

研发 一 个 在 能 源 行业 通用 的 网 络 安全 威胁 信息 分 析 工 具 , 帮 助 能 源 行业 的 
运营 者 分 析 并 理解 这 些 安全 威胁 是 如 何 影响 整个 风险 态势 走向 的 。 该 工具 允许 
运营 者 应 对 一 个 特定 的 安全 威胁 给 予 适当 的 反馈 。 此 外 , 爱 达 荷 实验 室 还 负责 
了 关键 基础 设施 测试 靶场 的 建设 工作 ,搭建 了 网 络 安全 测试 床 .SCADA/ICS W 
试 床 .电网 测试 床 、 无 线 测试 床 和 物理 安全 测试 床 。 

(2) 桑 迪 亚 国家 实验 室 (SNL) 

研究 移动 目标 防御 技术 ,具体 包括 TP 地 址 可 变 .通道 数 可 变 、 路 由 和 IPSec 
信道 可 变 执行 代码 随机 、 指 令 集 合 随机 等 。 通 过 在 网 络 配置 方面 和 设备 部 署 方 
面 增强 信息 不 确定 性 、 动 态 变 化 性 等 方式 来 增加 攻击 者 进行 系统 分 析 和 攻击 的 
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图 3-5 NSTB 项 目 架 构图 (来 源 : 文献 [6] Exhibit 2. 3 Strategic Framework for NSTB Program) 


难度 ,降低 系统 脆弱 性 。 此 外 ,实验 室 还 开展 了 油气 工业 网 络 安全 研究 ,以 美国 
桑 迪 亚 国家 实验 室 为 首 .14 个 机 构 参 与 的 为 期 一 年 的 LOGIIC 已 告 结 束 , 并 将 
继续 开展 实地 测试 。 
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图 3-6 NSTB 项 目 参 与 实验 室 


(3) 洛斯 阿拉 莫 斯 国家 实验 室 (LANL) 

负责 在 能 源 系统 (如 电网 系统 ) 中 ,研究 量子 密 钥 分 发 机 制 ,得 到 可 应 用 于 传 
统 加 密 认 证 算法 中 的 密 钥 。 

(4) 阿 贡 国家 实验 室 (ANL) 

通过 国家 标准 化 协会 国际 联盟 (International Federation of the National 
Standardizing Associations, ISA) 工 作 组 来 制定 包括 国际 电工 委员 会 
(International Electrotechnical Commission,IEC)61850 变电站 自动 化 和 可 信赖 
的 无 线 工 控 标准 等 控制 系统 标准 。 此 外 , 阿 贡 实验 室 还 利用 其 在 石油 和 天 然 气 
行业 的 专家 来 为 建设 NSTB fM vt iik 

(5) 西北 太平 洋 国家 实验 室 (PNNL) 

人 研究 能 源 行业 安全 SCADA 通信 协议 (Secure SCADA Communication 
Protocol, SSCP) 、 开 发 现场 设备 管理 软件 、 开 发 加 密 信任 管理 软件 .开发 协议 分 
析 咒 等 组 成 一 整套 开源 工具 ,以 此 识别 出 调试 前 和 调试 期 间 能 源 输送 系统 中 被 
攻击 的 软 、 和 硬件。 该 套件 包括 一 系列 独立 的 工具 , 它 可 以 在 本 地 运行 来 保证 硬件 
供应 链 安全 ,也 可 以 在 关键 基础 设施 的 供应 链 中 开展 大 规模 高 性 能 计算 服务 ,分 
析 系 统 运 行 状况 并 识别 出 潜在 的 问题 。 此 外 ,实验 室 还 搭建 了 电力 网 络 .设备 及 
技术 测试 床 PowerNET。 

(6) 橡树 岭 国家 实验 室 (ORNL) 

研究 适用 于 能 源 行业 系统 的 量子 密 钥 分 发 机 制 。 旨 在 通过 改进 传统 的 量子 
密 钥 分 发 机 制 来 进一步 降低 开销 。 该 实验 室 所 研发 的 新 型 量子 密 钥 分 发 机 制 允 
许多 个 客户 端 通过 一 个 量子 通信 信道 使 用 低 成 本 的 量子 调节 器 来 实现 密 钥 分 
发 。 此 外 ,实验 室 还 搭建 了 大 规模 网 络 安全 测试 床 。 

(7) 劳伦斯 伯克利 国家 实验 室 (LBNL) 

基于 传感器 或 执行 器 的 物理 资源 限制 条 件 ,研究 系统 运行 状态 监测 机 制 。 
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当 存 在 来 自 系统 外 部 或 内 部 安全 威胁 时 ,该 机 制 旨 在 监测 系统 运行 状态 或 流程 
有 人 悖 于 既定 协议 的 异常 情况 。 此 外 ,该 项 目 还 会 研究 相对 应 的 安全 防御 和 保护 
机 制 。 


3.3.3 NSTB 实验 室 具 体 情况 


3.3.3.1 爱 达 荷 国家 实验 室 


如 图 3-7 所 示 ,在 NSTB 项 目 中 , 爱 达 荷 国家 实验 室 (INL) 关 键 基础 设施 测 
试 靶场 5 发 挥 着 举足轻重 的 作用 。 和 靶场 旨 在 使 用 与 现实 生产 中 完全 相同 的 设 
备 来 构建 一 种 全 实物 的 大 型 测试 床 , 完 全 复制 真实 系统 ,研发 保护 国家 基础 设施 
的 技术 ,并 开展 大 量 的 测试 和 验证 工作 。 在 基础 设施 建设 方面 ,为 保证 各 实验 床 
能 够 高 效 运作 ,INL 在 基础 设施 建设 方面 已 经 投入 超过 1 亿美 元 。 目 前 ,该 项 目 
所 拥有 的 基础 设施 包括 :安全 的 配 电 系统 (3 个 发 电厂 .7 个 变电站 ,共计 61 公里 
的 138kV 电力 线路 ) ,隔离 部 分 电网 /变电站 的 设备 ,电力 线路 试验 区 ,集中 式 
SCADA 操作 中 心 ,无 线 网 络 ,以 太 网 ,下 一 代 蜂 窝 网 络 ,无 线 频 谱 管 理 设备 。 该 
靶场 可 对 国家 安全 、 网 络 安全 .工控 安全 等 多 个 项 目 进行 研 究 , 如 散装 或 微量 爆 
炸 物 检 测 ,炸药 /武器 效应 试验 ,违禁 品 和 武器 检测 ,无 线 通 信 、 无 人 机 研究 与 实 


图 3-7 INL SCADA 测试 床 (来 源 : 文 献 [7]) 
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验 , 工 控 网 络 安全 和 物理 安全 实验 。 

目前 ,该 测试 靶场 已 经 具备 了 以 下 科研 基础 。 

(1)“ 清 洁 ? 频 谱 : 远 离 城市 地 区 或 军事 基地 ,实现 本 地 频谱 管理 ,可 以 使 用 
下 一 代 / 国 际 频 率 。 

(2) 各 种 大 规模 通信 和 网络: 全球 移动 通信 系统 (Global System for Mobile 
Communication, GSM) ,通用 移动 通信 系统 (Universal Mobile Telecommunications 
System, UMTS), ,固定 全 球 微 波 互联 接 人 (Worldwide Interoperability for 
Microwave Access. WiMAX) ,移动 WiMAX, 码 分 多 址 (Code Division Multiple 
Access, CDMA) ,高 频 、 微 波 网 络 等 实验 网 络 。 

(3) 灵活 的 多 资源 实验 能 力 : 拥 有 SCADA 系统 、 物 理 和 网 络 设备 等 多 种 基 
础 设施 资源 ,具有 研发 、. 集 成、 独立 验证 与 测试 等 综合 实验 能 力 。 


l. 实验 室 研 究 目 标 


INL 作为 美国 能 源 领 域 的 领头 单位 ,致力 于 在 能 源 、 国 家 安全 和 生态 环境 方 
面 为 能 源 部 研究 制定 战略 目标 ,并 力争 在 保证 关键 基础 设施 安全 的 前 提 下 ,改变 
世界 能 源 的 未 来 。 在 工控 安全 方面 ,INL 旨 在 通过 研发 .示范 和 推广 项 目 来 确保 
国家 能 源 安全 。 具 体 地 ,INL 将 努力 提高 国家 在 工业 网 络 安全 威胁 分 析 ,无 线 通 
信 频 谱 利用 率 , 电 网 可 靠 度 .安全 性 和 恢复 性 等 方面 的 研发 能 力 , 以 此 来 实现 物 
理 和 网 络 安全 的 一 体 化 。 


2. 实验 室 研 究 内 容 


INL 主要 研究 工业 控制 系统 网 络 安全 ,关键 基础 设施 保护 ,关键 系统 漏洞 分 
析 、 信 息 物 理 系统 保护 .仪器 控制 和 弹性 控制 系统 等 内 容 , 开 展 工业 控 制 系统 和 
信息 物理 系统 的 安全 保护 研究 。 


3. 爱 达 荷 实验 室 建 设 运营 的 测试 床 


INL 运营 着 5 个 国家 测试 床 ,分 别 是 网 络 安全 测试 床 .SCADAVICS 测试 
床 . 电 网 测试 床 、 无 线 测试 床 、 物 理 安全 测试 床 。 

(1) INL SCADA 测试 床 

INL 的 基础 设施 测试 床 将 大 规模 部 署 的 SCADA 组 件 与 由 行业 提供 并 在 实 
验 室内 安装 的 系统 相 结 合 。 可 以 对 多 个 SCADA 和 过 程控 制 系统 在 实验 室 中 进 
行 实时 地 设计 ,开发 ,集成 ,系统 化 及 应 用 示范 。 控 制 系统 和 网 络 专家 检查 系统 
的 组 成 部 分 ,寻找 系统 组 件 固有 的 脆弱 性 。 行业 和 政府 客户 可 以 把 它们 的 远程 


11 


美国 关键 基础 设施 安全 防护 体系 与 策略 


终端 单元 ,智能 电子 设备 和 可 编程 逻辑 控制 器 置 于 测试 床 中 ,并 开展 进一步 的 测 
试 和 开发 。 

(2) INL 电网 测试 床 

图 3-8 给 出 了 INL. 电网 测试 床 的 实物 图 。 该 测试 床 开 发 了 一 套 建 模 与 仿真 
工具 ,以 研究 新 技术 对 电网 可 能 产生 的 影响 ,模拟 实时 动态 电网 网 络 ,检测 未 知 
漏洞 ,提供 电网 故障 应 对 策略 。 在 这 套 工具 的 顶端 是 实时 数字 仿真 器 (Real 
Time Digital Simulator, RTDS) ,该 仿真 器 是 一 个 全 数字 化 电磁 瞬 态 电力 系统 
仿真 器 ,支持 实时 操作 。 此 外 ,测试 床 中 的 高 压 交 流 电 (High Voltage 
Alternating Current，HVAC) 和 高 压 直 流 电 (High Voltage Direct Current， 
HVDC) 提 供 了 电力 系统 真实 仿真 验证 环境 。 


图 3-8 INL 电网 测试 床 ( 来 源 :文献 [7]) 


(3) INL 网 络 安全 测试 床 

图 3-9 给 出 了 INL. 网 络 安全 测试 床 的 实物 图 。 该 测试 床 支持 让 用 户 访 问 多 
个 机 密 和 非 机 密 的 试验 设施 和 关键 基础 设施 测试 靶场 的 组 件 ,研究 人 员 能 够 提 
供 一 个 定制 的 无 线 通信 入 侵 检测 系统 ,对 漏洞 进行 评估 分 析 。 利 用 该 测试 床 , 研 
究 人 员 还 可 以 灵活 地 根据 客户 需求 来 修改 攻击 测试 规范 ,以 此 来 攻击 系统 ,进而 
对 系统 的 脆弱 性 进行 有 针对 性 的 评估 和 检测 。 利 用 全 实物 测试 床 技术 ,该 测试 
床 能 对 控制 系统 进行 精确 复制 ,可 以 进行 大 规模 网 络 攻击 测试 。 网 络 安全 研究 
人 员 通 过 利用 网 络 恐 怖 主义 和 黑客 的 方法 和 意识 形态 ,可 对 网 络 进行 模拟 攻击 ， 
由 此 找 出 网 络 系统 的 脆弱 性 所 在 .并 通过 分 析 评 估 ,提出 防御 方案 。 测 试 床 还 有 
利于 开发 漏洞 修复 技术 和 工具 ,帮助 国家 重要 基础 设施 发 现 并 减少 网 络 漏洞 。 

(4) INL 无 线 测试 床 

该 测试 床 拥 有 2300 平方 公里 的 无 线 测试 范围 ,提供 一 个 无 线 射频 (Radio 


" 


INL's Cyber Security Test Bed has the 
flexibility to replicate any customer's control 
system specifications. 


图 3-9. INL 网 络 安全 测试 床 ( 来 源 :文献 [7]) 


Freqency，RF) 实 验 环境 ,尽量 减少 来 自 农村 /城市 ,机 场 或 军事 因素 的 干扰 , 支 
持 研 究 人 员 用 于 从 事 无 线 网 络 的 研究 、 开 发 、 集 成 ,测试 和 演示 工作 。 研 究 人 员 
已 完成 了 无 线 网 络 检测 及 手机 ,传感器 和 应 用 程序 的 集成 检测 ,可 进行 全 国 范围 
内 的 远程 无 线 连接 研究 和 实验 。 实 验 室 与 企业 合作 ,在 GSM,UMTS,WiMAX， 
CDMA ,高 频 , 微 波 , Wi-Fi 和 其 小 口径 天 线 地 球 站 终端 等 方面 ,提供 了 专业 的 技 
术 支 持 。 此 外 ,在 无 人 机 领域 ,实验 室 已 为 50 多 个 行业 领先 的 软 、 硬 件 厂商 提供 
了 无 线 测试 服务 。 


3.3.3.2. 桑 迪 亚 国家 实验 室 
1. 实验 室 研究 目标 


桑 迪 亚 国 家 实验 室 期 望 解决 国家 重大 能 源 安全 问题 ,有 效 提升 核 威慑 能 力 ， 
并 处 理 好 核 威慑 任务 与 国家 安全 任务 之 间 的 协同 作用 和 相互 依赖 关系 。 为 此 ， 
实验 室 制 定 了 四 个 主要 目标 :提升 核武 器 威力 ,提高 国家 安全 影响 力 ,为 国家 安 
全 建设 持续 做 贡献 ,制定 国家 能 源 战 略 目标 。 


2. 实验 室 研究 内 容 


在 核武 器 方面 ,与 客户 、 合 作 伙 伴 以 及 桑 迪 亚 实 验 室 的 其 他 研究 领域 人 才 一 
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起 协作 来 提供 一 个 具有 物理 、 信 息 安 全 的 核 威慑 力 ; 在 保障 全 球 核 安全 方面 , 助 
力 美国 政府 能 够 自信 地 参与 .评估 和 解决 全 球 在 使 用 先进 系统 和 技术 时 所 面临 
的 核 安全 问题 ;在 网 络 空间 防御 方面 ,研发 基于 科学 和 工程 的 网 络 技术 来 持续 地 
提升 国家 安全 防御 与 主导 能 力 ;在 维持 美国 国防 技术 优势 方面 ,研发 先进 技术 和 
能 力 来 及 时 应 对 国家 安全 和 核武 器 所 面临 的 安全 挑战 。 


3. 桑 迪 亚 国家 实验 室 建 设 运营 的 LOGIIC 测试 床 [3] 


在 工业 控制 系统 安全 和 关键 基础 设施 安全 方面 ,为 了 保证 美国 油气 控制 系 
统 的 安全 和 可 靠 运 行 , 最 大 程度 减少 通过 网 络 攻 击 损害 或 瘫痪 美国 油气 基础 设 
施 的 可 能 性 ,实验 室 在 2004 年 就 开展 了 为 期 一 年 的 LOGIIC 测试 床 项 目 。 
LOGIIC 测试 床 项 目 设 计 了 一 种 如 图 3-10 所 示 的 过 程控 制 系统 中 的 通用 信息 基 
础 设施 理想 模型 ,用 来 表示 精炼 厂 和 油气 管 网 场景 的 通用 信息 基础 设施 系统 ;分 
析 并 确定 了 系统 所 有 可 能 被 攻击 者 利用 的 脆弱 环节 和 可 能 存在 的 攻击 场景 ; 设 
计 了 一 套 模拟 测试 床 ,通过 假设 攻击 情景 来 评估 油气 工业 的 潜在 威胁 。 在 过 程 
控制 系统 中 ,研究 了 网 络 安全 攻击 所 导致 的 系统 异常 行为 ;研究 了 安全 事件 之 间 
的 关联 关系 ,以 此 来 加 强 入 侵 检测 能 力 ;设计 了 一 个 通过 部 署 安全 传感器 来 监测 系 


BGSP 
HMI-Operator Console SCADA|Server (Via VPN) 


KEY: 

BGSP-Bad Guy Starting point 
HMI-Human Machine Interface 
Flow Controller PLC-Programmable Logic Controller 
RTI-RemoteTerminal Unit 
VPN-Virtual Private Network 
DCS-Distributed Control System 


Process Control Zone 


图 3-10 过程 控制 系统 中 的 通用 信息 基础 设施 的 理想 化 模型 (来 源 : 文献 [9] Figure 2) 
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统 运行 状态 的 纵深 防御 体系 ,以 此 来 监测 油气 控制 系统 中 的 可 疑 系 统 状态 或 行为 。 

图 3-11 展示 了 LOGIIC 项 目的 测试 床 环境 ,这 个 测试 环境 模拟 的 是 油气 管 
道 和 精炼 厂 的 真实 环境 。 测 试 床 包括 一 个 用 于 管理 油气 管道 的 SCADA 系统 ， 
一 个 用 于 运行 精炼 厂 的 DCS 系统 。 
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图 3-11 LOGIIC 测试 床 环境 (来 源 : 文献 [9] Figure 3) 
LOGIC 系统 综合 了 设备 .主机 和 网 络 级 别 的 安全 事件 关联 能 力 ,提供 了 一 


种 设施 级 别 的 安全 威胁 感知 方案 。LOGIIC 系统 支持 可 扩展 性 ,可 包括 标准 的 
IT 防御 和 控制 系统 安全 定制 设备 。 其 中 ,标准 的 IT 防御 设备 包括 :网 络 防火 
I .主机 防火 墙 ,网 络 入 侵 检 测 系统 ,网 络 设备 (有 线 或 无 线路 由 器 ) 。 控 制 系统 
安全 定制 设备 包括 :针对 过 程控 制 系统 协议 的 网 络 人 侵 检测 系统 ,DCS 和 
SCADA 警报 系统 。 


3.3.3.3. 西北 太平 洋 国家 实验 室 
l 实验 室 研究 目标 


西北 太平 洋 国 家 实验 室 (PNNL) 于 1965 年 成 立 , 位 于 华盛顿 州 的 里 奇 兰 
(Richland) ,致力 于 解决 能 源 、 环 境 和 国家 安全 最 球 手 的 问题 。PNNL 支撑 国土 
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图 3-12 LOGIC 安全 系统 架构 (来 源 : 文献 [9] Figure 4) 
安全 部 、 国 家 核 安全 局 以 及 其 他 政府 机 构 的 工作 ,主要 研究 领域 包括 环境 .卫生 、 
能 源 、 计 算 机 科学 与 安全 。 

2. 实验 室 研 究 内 容 


C) 电网 可 靠 性 
西北 太平 洋 国 家 实验 室 的 电力 基础 设施 运营 中 心 (Electricity Infrastructure 
Operations Center. EIOC) 作 为 一 个 独特 的 电网 现代 化 的 新 技术 研发 与 部 署 平 


图 3-13 西北 太平 洋 国 家 实验 室 电力 基础 设施 运营 中 心 
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台 , 具 有 实时 电网 数据 的 先进 计算 、 分 析 和 可 视 化 能 力 。EIOC 组 建 了 两 个 全 功 
能 控制 室 ,主要 致力 于 研究 电网 的 可 靠 性 。 

(2) 安全 SCADA 通信 协议 

实验 室 建 立 了 安全 SCADA 通信 协议 研究 项 目 。 研 究 内 容 包 括 构 建 能 源 行 业 
安全 通信 架构 .开发 现场 设备 管理 软件 .开发 加 密 信任 管理 软件 .开发 协议 分 析 器 。 

西北 太平 洋 实 验 室 在 NSTB 项 目 中 ,为 了 研发 下 一 代 控 制 系统 ,研发 生产 
了 包括 通用 控制 系统 架构 (如 图 3-14 所 示 )、 软 件 、 硬 件 和 工具 等 方面 的 解决 方 
案 。 这 些 工 具 将 被 纳入 未 来 安全 性 能 更 加 强大 稳固 的 控制 系统 中 。 这 些 系 统 架 
构 ,硬件 和 软件 也 都 有 可 能 被 逐步 商业 化 。 


Generic control System Architecure 


Level 5 
External Connections 


Level 3 
Operations 


+Field Devices Below Line| 


Level 2 
Control Bus 


Level 1 
Instrumentation 


图 3-14 PNNL 提出 的 通用 控制 系统 架构 (来 源 : 文献 [10] Figure 2) 


(3) PowerNET ilk ROM 

如 图 3-15 所 示 的 PowerNET(Power Networking. Equipment. and Technology ) 
测试 床 隶 属于 电网 操作 与 规划 技术 集成 能 力 套件 (Grid Operation and Planning 
Technology Integrated Capabilities Suite,GridOPTICS) 项 目 。GridOPTICS 项 
目 是 西北 太平 洋 国 家 实验 室 下 属 的 “未 来 电网 倡议 ”项目 (Future Power Grid 
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图 3-15 PNNL PowerNet 测试 床 ( 来 源 : 文献 [11]) 


Initiative,FPGI) 的 一 部 分 。PowerNET 测试 床 为 研究 人 员 开 发 和 测试 新 的 想 
法 提供 了 便利 ,并 帮助 厂商 测试 新 设备 和 互 操作 性 。 该 测试 床 还 提供 了 一 个 电 
网 共享 资源 ,可 降低 非 电 力 系统 工程 师 与 电力 系统 设备 实验 之 间 的 技术 壁垒 。 


具体 地 ,PowerNET 测试 床 接 入 实时 数据 管理 系统 。 该 系统 使 用 模型 驱动 


类 型 的 数据 压缩 融合 和 复制 算法 来 增强 电网 系统 中 信息 网 络 的 可 靠 性 和 可 伸 
缩 性 。 在 PowerNET 中 ,电网 系统 设备 、 仿 真 模块 和 虚拟 仿真 设备 都 集成 到 美 
国信 息 科 学 研究 所 研发 的 DETER 软件 中 ,以 此 来 扩展 PowerNet 的 仿真 能 力 


3.3.3.4 橡树 岭 国家 实验 室 


1. 实验 室 研究 目标 


在 量子 密 钥 分 发 方面 ,研究 适用 于 能 源 行业 系统 的 量子 密 钥 分 发 机 制 , 旨 在 
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二 


通过 改进 传统 的 量子 密 钥 分 发 机 制 来 进一步 降低 开销 。 研 发 一 种 新 型 量子 密 钥 
分 发 机 制 , 允 许多 个 客户 端 通过 一 个 量子 通信 信道 使 用 低 成 本 的 量子 调节 器 来 
进行 密 钥 分 发 。 在 下 一 代 安 全 智能 电网 设计 与 实现 方面 ,研究 智能 电网 的 可 扩 
展 通信 网 络 技术 ,提高 电网 的 可 扩展 性 和 自我 配置 能 力 , 实 现 多 用 户 多 设备 无 颖 
连接 。 


2. 实验 室 研究 内 容 


在 量子 密 钥 分 发 方面 ,由 橡树 岭 国家 实验 室 .通用 电气 全 球 研发 中 心 和 ID 
Quantique 公司 共同 研究 了 量子 密 钥 分 发 (Accessible QKD for Cost-Effective 
Secret Sharing,AQCESS) 机 制 。 橡 树 岭 国家 实验 室 主要 负责 研究 可 行 的 量子 
密 钥 分 发 协议 ,并 负责 系统 集成 工作 。 通 用 电气 全 球 研发 中 心 负责 提供 电力 系 
统 设备 。ID Quantique 公司 负责 研发 量子 密 钥 系统 和 技术 。 本 项 目 拟 开发 并 展 
示 一 种 新 型 的 可 提高 量子 密 钥 分 发 的 通用 性 和 可 访问 性 的 量子 密 钥 技术 ,并 将 
此 项 技术 应 用 到 商用 的 电网 仪表 中 。 在 下 一 代 安 全 智能 电网 方面 ,研究 了 如 何 
在 下 一 代 电 网 的 通信 网 络 中 应 用 扩 频 技术 来 建立 一 个 较 宽 的 通信 带宽 ,提高 网 
络 的 可 扩展 性 能 。 

3. 主要 成 果 

(1) 验证 了 量子 密 钥 分 发 信号 调制 解 调 操作 和 AQCESS 通信 和 节点; 

(2) 经 调研 后 确定 了 通用 设备 的 选 型 , 选 定 了 用 通用 电气 公司 的 Jungle MUX 
设备 来 开发 原型 系统 ; 

(3) 完成 了 原型 系统 的 设计 与 开发 ; 

(4) 研究 了 电网 底层 安全 通信 机 制 ,通过 橡树 岭 实验 室 研发 的 混合 扩 频 技 
术 实 现 了 电网 物理 层 和 MAC 层 安全 通信 ; 

(5) 为 智能 电网 应 用 程序 ,设计 完成 了 混合 扩 频 /CDMA 收发 器 ,提高 了 电 
网 网 络 的 可 扩展 性 。 


3.3.3.5 阿 贡 国家 实验 室 
l. 实验 室 研究 目标 


阿 贡 国家 实验 室 (ANL) 针 对 当前 时 代 的 可 持续 能 源 、 健 康 环境 和 安全 国家 
方面 面临 的 重大 挑战 问题 ,研究 SCADA 系统 安全 ,力争 取得 具有 世界 先进 性 的 
理论 和 工程 成 果 。 
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2, 实验 室 研究 内 容 


ANL 关于 工业 控制 安全 的 研究 主要 集中 在 SCADA 系统 领域 (主要 是 美国 
天 然 气 管道 运输 的 SCADA 系统 )。ANL 已 经 开展 SCADA 系统 调查 和 评估 研 
究 ,并 开发 出 各 种 工具 技术 和 方法 ,用 于 评估 和 改进 SCADA 系统 。ANL 还 为 
天 然 气 管道 运输 系统 设计 了 SCADA 远程 设备 控制 方案 。 此 外 ,实验 室 还 通过 
ISA 工作 组 来 制定 控制 系统 标准 ,包括 IEC 61850 标准 等 。 


3.3.3.6 洛斯 阿拉 莫 斯 国家 实验 室 
1. 实验 室 研究 目标 


通过 卓越 的 科研 成 果 来 解决 国家 能 源 安全 面临 的 挑战 。 实 验 室 目 前 拥有 的 
基础 设施 包括 :1280 座 建筑 (包括 11 个 核 设 施 ) ,道路 总 长 268 英里 (已 铺设 100 
英里 ), 电 力 线 缆 共 计 34 英里 ,天 然 气管 线 共 计 63 英里 ,此 外 还 拥有 一 座 电厂 。 


2. 实验 室 研 究 内 容 


实验 室 研究 工作 分 两 大 类 : 武器 研究 ,包括 开发 满足 目前 军事 需要 的 核 
弹头 ,设计 试验 先进 技术 方案 ; @ 非 武器 研究 ,包括 核 裂 变 、 核 聚变 、 中 等 物理 加 
速 . 超 导 、 生 物 医学 , 非 核 能 及 基础 能 源 科学 等 。 

在 NSTB 项 目 中 ,实验 室 主 要 负责 在 能 源 系统 (如 电网 系统 ) 中 ,研究 如 何 
利用 量子 密 钥 分 发 机 制 来 进行 密 钥 协商 和 交换 ,以 此 得 到 可 用 于 传统 加 密 认 证 
算法 中 的 密 钥 。 


3.3.3.7 劳伦斯 伯克利 国家 实验 室 
1. 实验 室 研 究 目标 


实验 室 走 在 世界 科学 领域 的 最 前 沿 ,致力 于 研究 先进 科学 技术 ,培养 科研 人 
才 ,推动 美国 和 全 世界 的 技术 创新 。 

在 NSTB 中 ,实验 室 为 设备 之 间 发 送 和 接收 到 的 指令 提供 数据 完整 性 保护 
机 制 ,确保 设备 的 网 络 安全 和 物理 安全 。 利 用 传感器 或 执行 器 实现 系统 运行 状 
态 监测 ,并 提供 安全 防御 和 保护 机 制 。 


2. 实验 室 研 究 内 容 


实验 室 的 研究 领域 广泛 ,研究 内 容 涉及 生物 医学 .计算 机 科学 地球 和 环境 
科学 ,能源 科学 能源 技术 ,物理 科学 等 领域 。 
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在 NSTB 项 目 中 ,实验 室 主要 负责 根据 基础 设施 系统 中 的 设备 运行 过 程 中 
的 物理 资源 限制 条 件 及 运行 协议 规范 ,研究 系统 和 设备 的 运行 状态 监测 机 制 。 
当 存 在 来 自 系统 外 部 或 内 部 的 安全 威胁 时 ,分 析 并 识别 有 悖 于 既定 协议 规范 的 
异常 情况 。 
3.3.4 NSTB 承担 项 目 


NSTB 包含 多 个 项 目 , 如 表 3-2 所 示 , 根 据 各 个 项 目的 目标 , NSTB 项 目 可 
以 分 为 三 个 方向 :下 一 代 控 制 系统 、 综 合 风 险 分 析 、 系 统 脆 弱 性 评估 中 。 
表 3-2 NSTB 承担 项 目 概 况 表 
序号 项 目 名 称 负责 人 单位 
一 、 下 一 代 控 制 系统 


^ 无 线 Jeff Dagl PNNL 
Wireless DOCET pide ERE S 
A 智能 电网 安全 特征 ee PNNL 
Smart Grid Security Attributes cae 西北 太平 洋 国 家 实验 室 
数据 传输 PNNL 
3 ff Di 
Data Transfer Project Je sgle 西北 太平 洋 国 家 实验 室 


安全 SCADA 通信 协议 (SSCP) 的 


PNNL 
4 协议 分 析 仪 Mark Hadley ] : EN 
Protocol Analyzer for the SSCP 西北 太平 洋 国 家 实验 室 
密码 的 可 信 管理 PNNL 
5 y Jeff Dagle 
Cryptographic Trust Management 西北 太平 洋 国 家 实验 室 
现场 设备 的 集中 配置 管理 PNNI 
6 Centralized Configuration Management Jeff Dagle 西北 太平洋 国家 实验 
for Field Devices 
使 用 信任 锚 方 式 保护 过 程控 制 系统 
免 受 生命 周期 攻击 TR SNL 
Protecting Process Control Systems Against dure 桑 迪 亚 国家 实验 室 
Lifecycle Attacks Using Trust Anchors 
控制 系统 网 络 的 异常 检测 和 
分 布 式 主动 响应 — ORNL 
Anomaly Detection and Distributed Active p 橡树 岭 国家 实验 室 


Response for Control Systems Networks 
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续 表 
序号 项 目 名 称 负责 人 单位 
一 、 下 一 代 控 制 系统 
关键 基础 设施 节点 的 可 信任 的 无 线 传输 Sea 
9 Trustworthy Wireless for Critical Wayne Manges M 
] 橡树 岭 国 家 实验 室 
Infrastructure Sites 
未 来 国家 电网 条 件 下 的 过 程控 制 安全 
10 Process Control Security under Future | Steve Fernandez ° 
ee ee 橡树 岭 国家 实验 室 
National Grid Conditions 
网 络 -物理 攻击 和 网 络 -物理 安全 : 
m 第 二 道 防线 " ORNL 
S t 
Cyber-Physical Attacks and Cyber-Physical PRE AER 橡树 岭 国家 实验 室 
Security: The Second Line of Defense 
使 用 便携 式 验收 测试 仪 和 协议 的 
SCADA 系统 网 络 安全 测试 ORNL 
12 g . Wayne Manges 
SCADA Systems Cyber Security Testing 橡树 岭 国 家 实验 室 
Through Portable Acceptance Test 
网 络 安全 审计 和 攻击 检测 工具 包 
13 Cyber Security Audit & Attack Detection | Dale Peterson Digital Bond. Inc 
Toolkit 
能 源 行业 的 威胁 检测 和 分 析 , 
14 D d Analysis of Th he | Alf Vald SRI International 
etection and Analysis o reats to the onso Valdes o rcs 
H 际 研究 院 
Energy Sector (DATES) 斯 坦 福 国 院 
姆 诺 斯 可 互 操作 的 安全 方 
15 利 姆 诺 斯 PA a 案 Vishant Shah EnerNex Corp 
Lemnos Interoperable Security Program 
保护 智能 分 布 式 电网 免 受 网 络 攻击 Siemens Corporate 
16 Protecting Intelligent Distributed Power | Dr. Dong Wei Research 
Grids from Cyber Attack 西门 子 研 究 中 心 
" Schweitzer Engineering 
ais JI 
17 menn Rhett Smith Laboratories, Inc 


Hallmark Project 


施 瓦 茨 工程 实验 室 


Boe kms d 
a 
序号 WAAR 负责 人 单位 
二 、 综 合 风 险 分 析 
威胁 特征 分 析 SNL 
18 . Michalski 
Threat Characterization 4 wares 桑 迪 亚 国家 实验 室 
T 实时 安全 状态 可 视 化 工具 — PNNL 
Real Time Security State Visualization Tool n 西北 太平 洋 国家 实验 室 
虚拟 控制 系统 环境 sig 
20 Virtual Control on Environment R. Halbgewachs — 
(VCSE) 
u X X5 Z n 
mpact Analysis of Cyber Attacks on NAR 桑 迪 亚 国家 实验 室 
Control Systems 
B. Richards 
后 果 建 模 工具 - pni SNL 
Consequence Modeling Tool BF . a 桑 迪 亚 国 家 实验 室 
Lane Yarrington 
三 、 系 统 脆 弱 性 评估 
常见 系统 漏洞 分 析 E INL 
23 Chaffin : 
Common Vulnerability Report 爱 达 荷 国家 实验 室 
3.3.4.1 下 一 代 控制 系统 


控制 系统 的 网 络 攻 击 持 续 发 展 ,能 源 部 门 必须 有 能 力 应 对 这 些 攻击 。 长 期 
来 看 ,能 源 控制 系统 安全 建设 需要 下 一 代 控 制 系统 (next-generation control 
systems) 安 全 技术 的 支撑 。 这 些 下 一 代 安 全 技术 包括 :智能 、 内 生 安全 及 可 靠 控 
制 系统 体系 结构 、 软 件 和 硬件 ;高 级 的 设备 到 设备 的 认证 ;准确 高 效 的 入 侵 检测 
和 防御 机 制 、 事 件 关联 和 响应 机 制 ; 在 远 端 设 备 和 监控 中 心 之 间 、 办 公 网 络 和 控 
制 网 络 之 间 的 控制 和 系统 通信 安全 协议 。 


1. 设计 目标 


下 一 代 控 制 系统 有 两 个 研究 目标 : 
(1) 研究 远 端 设备 和 控制 中 心 之 间 可 扩展 、 高 性 价 比 的 安全 通信 方法 。 开 
发 保护 边界 数据 安全 传输 的 解决 方案 ,并 加 速 其 推广 和 应 用 。 
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(2) 设计 对 主机 影响 最 小 的 可 扩展 、 高 性 价 比 的 新 型 安全 架构 和 通信 方式 。 
加 速 技术 成 果 转 化 ,显著 提高 能 源 控制 系统 的 网 络 安 全 等 级 。 


2. 技术 需求 和 挑战 


在 控制 系统 网 络 .远程 设备 和 商用 网 络 之 间 的 通信 连接 网 络 十 分 重要 ,但 以 
往 的 设计 往往 没有 或 很 少 考虑 到 这 一 点 ,其 中 存在 着 大 量 的 网 络 安全 漏洞 。 其 
次 ,每 一 个 新 的 连接 点 都 会 增加 基础 设施 的 复杂 度 ,并 极 易 被 攻击 者 利用 而 创建 
新 的 攻击 向 量 。 此 外 ,能 源 部 门 大量 地 应 用 商业 现货 (COST) 技 术 .标准 化 操作 
系统 和 在 控制 网 络 中 依赖 开放 通信 协议 ,这 些 也 大 大 增加 了 工控 网 络 的 风险 。 
然而 ,目前 解决 这 些 问 题 的 安全 技术 在 安全 事件 期 间 会 大 大 降低 系统 性 能 和 减 
缓 系统 的 响应 ,这 也 违背 了 安全 设计 者 的 初衷。 

针对 这 些 问题 和 挑战 ,工业 控制 系统 中 的 安全 需求 主要 有 以 下 几 点 : 

COD 不 影响 现 有 系统 的 性价比 和 和 鲁 棒 性 高 的 SCADA 加 密 设备 。 

(2) 安全 的 即 插 即 用 控制 系统 组 件 。 

(3) 集成 防火 墙 、 入 侵 检测 和 防 病毒 功能 为 一 身 , 且 对 主机 影响 最 小 的 高 性 
价 比 网 关 安 全 技术 。 

(4) 具有 自动 报告 功能 的 入 侵 检测 和 防御 技术 。 

(5) 安全 的 事件 管理 和 取证 工具 。 

(6) 自动 化 的 安全 状态 监测 和 响应 系统 。 

(7) 改善 系统 通信 性 能 ,启用 对 系统 影响 最 小 的 安全 解决 方案 。 


3. 项 目 里 程 碑 


根据 项 目 目标 ,下 一 代 控 制 系统 实施 过 程 中 具有 6 个 标志 性 的 事件 ,如 图 3-16 


所 示 。 对 于 第 一 个 设计 目标 ,计划 分 四 个 步骤 实现 ,对 应 于 图 中 的 事件 1 到 事件 4; 
[ 2008 2009 年 | | 2010% ] [ 20114 | [ 20124 | 20134 


用 于 控制 中 心 和 远程 设 
备 之 间 的 可 扩展 、 成 本 
高 效 的 安全 通信 方法 


在 对 主机 影响 最 小 的 情 
况 下 设计 可 扩展 、 成 本 
高 效 的 安全 架构 


图 3-16 下 一 代 控 制 系统 里 程 碑 和 性 能 目标 
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对 于 第 二 个 设计 目标 ,计划 分 两 个 步骤 实现 ,对 应 于 图 中 的 事件 5 和 事件 6. 3x 
6 个 事件 的 描述 如 下 : 
COD) 和 工业 产品 供应 商 一 起 现场 测试 串 行 协议 认证 技术 。 
(2) 将 串 行 协议 认证 技术 转让 给 商业 供应 商 。 
C3) 和 工业 合作 伙伴 一 起 现场 测试 可 互 操作 的 控制 系统 安全 体系 架构 。 
(4) 将 可 互 操作 的 控制 系统 安全 体系 框架 转让 给 商业 供应 商 。 
(5) 演示 为 控制 系统 应 用 设计 的 集成 的 入 侵 检 测 、 防 御 和 事件 关联 能 力 。 
(6) 将 集成 的 入 侵 检 测 .防御 和 事件 关联 技术 转让 给 商业 供应 商 。 


4, 主要 项 目 介绍 


CD 现场 设备 的 集中 配置 管理 (Centralized Configuration Management for 
Field Devices)! 

O 项 目 目标 

项 目的 主要 目的 是 开发 一 个 独立 于 供应 商 的 应 用 软件 ,能 够 使 用 户 可 以 在 
监控 中 心 实现 对 所 有 现场 设备 的 管理 和 配置 。 

O 技术 方法 

本 项 目 将 使 用 安全 SCADA 传输 协议 (SSCP) 作 为 传输 配置 变更 信息 的 传 
输 机 制 。SSCP 库 包 含 加 密 和 授权 功能 。SSCP 还 被 设计 为 能 够 利用 专 有 的 加 
密 密 钥 对 来 实现 加 密 并 且 其 加 密 过 的 数据 可 以 在 现 有 传输 媒介 上 进行 传输 。 安 
全 SCADA 的 数据 保护 方式 是 由 信息 的 类 型 决定 的 ,例如 ,工程 访问 数据 可 以 使 
用 加 密 和 授权 保护 ;SCADA 数据 只 需 使 用 加 密 操作 。 这 提供 了 非常 好 的 安全 
性 和 灵活 性 。 本 项 目 也 使 用 西北 太平 洋 实验 室 的 电力 基础 设施 运营 中 心 的 平台 
和 多 个 厂商 的 设备 作为 研究 和 开发 环境 。 

(2) 关键 基础 设施 节点 的 可 信任 的 无 线 传输 (Trustworthy Wireless for 
Critical Infrastructure Sites)? 

O 3i H Hd 

研发 网 络 级 .主机 级 和 设备 级 的 入 侵 检测 系统 ,建立 安全 事件 关联 模型 , 拱 
建 一 个 全 行业 的 、 分 布 式 的 并 具有 隐私 保护 功能 的 安全 事件 数据 共享 平台 。 

© 技术 路 线 

第 一 步 , 重 点 关注 电力 行业 ,支持 ISA100 标准 (无 线 工业 自动 化 ) 无 线 可 信 
技术 标准 制定 工作 。 每 年 工作 组 至 少 每 两 个 月 进行 一 次 电话 会 议和 面对面 的 
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第 二 步 ,探讨 在 关键 基础 设施 制定 的 节点 中 部 署 无 线 技 术 中 企业 政策 ,法规 
等 内 容 。 撰 写 一 份 描述 关键 基础 设施 无 线 系统 高 安全 性 、 高 可 靠 性 的 文档 ,文档 
中 需要 通过 吞吐 量 、 范 围 .延迟 和 安全 等 指标 来 量化 无 线 通 信 可 靠 性 。 

第 三 步 ,促使 ISA100 可 信赖 无 线 工 作 组 (Trustworthy Wireless Working 
Group,TWWG) 制 定 * 无 线 工 业 自动 化 可 靠 性 草案。 在 SCADA 原型 系统 环境 
下 利用 无 线 笔 记 本 进行 漏洞 测试 ,并 出 具 一 份 详细 测试 报告 。 

(3) 能 源 行业 的 威胁 检测 和 分 析 (Detection and Analysis of Threats to the 
Energy Sector. DATES)" 

O 项 目 目标 

研发 网 络 级 .主机 级 和 设备 级 的 人 侵 检测 系统 ,建立 安全 事件 关联 模型 , 拱 
建 一 个 分 布 式 的 具有 隐私 保护 的 安全 事件 数据 共享 平台 。 

@ 技术 路 线 

第 一 阶段 : 研究 控制 系统 存在 的 安全 脆弱 性 ,决定 如 何 最 优化 地 部 署 和 设 
计 入 侵 检测 传感器 。 综 合 利 用 入 侵 检测 组 件 和 企业 安全 管理 工具 来 建设 全 面 的 
安全 事件 管理 能 力 。 为 人 侵 检测 系统 研发 安全 事件 关联 模型 。 通 过 建立 一 个 安 
全 的 、 匿 名 的 信息 共享 传输 通道 来 增强 网 络 威胁 分 析 能 力 ,并 建立 维护 一 个 全 球 
性 的 安全 事件 信息 共享 平台 。 

第 二 阶段 : 选择 适当 的 人 侵 检 测 组 件 , 并 创建 安全 事件 关联 规则 集合 。 建 
立 攻击 场景 来 验证 安全 事件 关联 系统 的 有 效 性 ,并 验证 系统 的 安全 态势 感知 
能 力 。 

第 三 阶段 : 分 析 并 完成 系统 配置 ,以 此 来 最 大 化 系统 检测 安全 攻击 的 能 力 。 
组 织 建立 攻击 团队 来 对 系统 进行 攻击 实验 ,验证 系统 的 人 侵 检 测 能 力 。 

@ DATES 测试 床 介绍 

DATES 测试 床 由 英 维 斯 (Invensys) 的 DCS 和 和 桑 迪 亚 国家 实验 室 的 VCSE 
两 部 分 组 成 。Invensys DCS 测试 床 主要 是 由 Invensys DCS 以 及 上 位 机 IA AK 
统 组 成 。Invensys DCS 系统 对 Modbus 协议 进行 了 测试 。VCSE 测试 床 对 办 公 
网 和 隔离 区 进行 了 仿真 。 

DATES 测试 床 主要 用 于 分 析 网 络 信息 系统 及 其 威胁 的 相关 性 。 系 统 主要 
是 用 虚拟 机 技术 实现 真实 的 系统 组 件 ,能 够 在 一 台 主 机 上 运行 一 个 小 型 的 
SCADA 网 络 。 两 个 实验 室 之 间 采 用 安全 隧道 进行 数据 传输 。DATES 测试 床 
的 结构 图 如 图 3-17 所 示 。 

Invensys DCS 测试 床 与 VCSE 测试 床 之 间 的 配置 及 数据 传输 关系 如 图 3-18 
所 示 。 图 3-19 给 出 了 在 控制 系统 和 商业 数据 库 上 进行 威胁 检测 的 IDS 部 署 位 置 。 
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图 3-17 DATES 测试 床 结构 图 (来 源 : 文献 [12] 
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Figure 17) 


Sandia Testbed (VCSE) 


EMERALD 
NIDS 


Symantec 
Endpoint 
Protection 


D ArcSight 


SmartConnector 


Invensys DCS 与 VCSE 之 间 的 配置 及 数据 传输 关系 图 (来 源 : 文献 [12] Figure 18) 
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图 3-19 DATES 测试 床 IDS 部 署 位 置 示意 图 (来 源 : 文献 [12] Figure 1) 


DDoS 攻击 的 可 视 化 分 析 结 果 如 图 3-20 所 示 。 红 色 正 方形 代表 DDoS 的 源 
IP 地 址 ,紫色 正方 形 表示 该 IP 地 址 可 能 受到 的 DDoS 攻击 。 每 个 源 地 址 和 目的 
地 址 之 间 的 箭头 都 表示 一 类 事件 。 浅 蓝 色 的 圆圈 表示 事件 数量 的 多 少 。 

(4) 保护 智能 分 布 式 电 网 免 受 网 络 攻 击 (Protecting Intelligent Distributed 
Power Grids against Cyber Attack)" 

(OD 项 目 目标 

本 项 目 主要 是 针对 智能 电网 开发 一 个 分 层 的 网 络 安全 系统 ,开发 电网 物理 
硬件 的 自动 化 风险 评估 功能 ,使 用 高 级 仿真 、 机 器 学 习 和 动态 进化 技术 ,基于 模 
拟 演习 和 历史 攻击 数据 来 识别 网 络 安 全 威胁 。 该 分 层 的 网 络 安 全 系统 主要 由 现 
场 设备 或 者 控制 器 的 安全 代理 、 自 动 控 制 层 的 安全 路 由 器 和 电网 层 的 安全 管理 
系统 三 部 分 。 安 全 代理 主要 是 用 来 进行 简单 日 志 记 录 、 报 告 和 检测 ;安全 路 由 器 
主要 是 管理 数据 流量 、 使 用 既定 的 网 络 规则 来 检测 入 侵 行为 ;安全 管理 系统 主要 
是 在 基于 仿真 和 历史 信息 的 基础 上 更 新 改进 现 有 安全 策略 或 是 制定 新 的 安全 策 
略 。 管 理 系统 将 会 连接 交换 机 和 代理 服务 器 ,作为 一 个 认证 、 授 权 和 计 费 
(Authentication, Authorization and Accounting, AAA) 的 服务 器 运行 , 当 系 统 
获得 新 的 安全 补丁 时 ,AAA 服务 器 会 将 它们 分 发 到 控制 系统 组 件 中 。 

© 技术 路 线 

这 种 智能 分 布 式 的 分 层 方法 能 够 为 先进 的 电网 提供 一 个 完整 的 安全 解决 方 
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图 3-20 DDoS 攻击 结果 图 (来 源 : 文献 [12] Figure 21) 


案 。 本 项 目 主要 包含 两 个 阶段 。 

第 一 阶段 (设计 和 开发 ) : 分 析 电 力 控 制 网 络 的 网 络 攻击 的 影响 ,研究 发 展 
基于 风险 的 关键 资产 识别 模型 和 算法 ,并 最 终 完成 关键 资产 识别 系统 的 搭建 。 

第 二 阶段 (测试 和 验证 ) : 在 爱 达 荷 实验 室 , 对 此 系统 的 安全 代理 、 安 全 路 由 
器 .安全 管理 和 安全 集成 配置 软件 进行 两 轮 测 试 。 

电网 安全 建议 的 3 层 框架 结构 如 图 3-21 所 示 。 包 括 电 网 层 、 自 动 控 制 层 和 
安全 层 。 电 网 层 由 各 类 电力 现场 设备 组 成 ,自动 化 控制 层 负责 监视 和 控制 电网 
层 , 安 全 层 提供 明确 的 责任 划分 和 安全 功能 ,这 些 功 能 在 设计 上 相互 独立 。 

3-22 显示 了 4 种 安全 代理 的 位 置 。 第 一 种 代理 是 独立 的 设备 ,其 具有 两 
个 网 络 接口 ,其 中 内 部 端口 连接 到 远程 终端 单元 (remote terminal unit, RTU) 
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Power Layer 


图 3-21 电网 3 层 架 构图 (来 源 : 文献 [13] Figure 3) 


Control 
Center 


8 BH BERE -— 


图 3-22 4 种 安全 代理 位 置 示意 图 (来 源 : 文献 [13] Figure 6) 
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à 


或 HMI 等 需要 保护 的 设备 ,外 部 端口 连接 到 交换 机 或 路 由 器 等 网 络 设备 上 。 
第 二 种 代理 也 是 独立 的 设备 ,同样 具有 两 个 网 络 接口 ,其 中 内 部 端口 连接 到 一 组 
电气 设备 上 (如 测量 仪表 或 者 受 保护 的 继电器 ) ,外 部 端口 连接 到 网 络 设备 上 (如 
交换 机 、 路 由 器 ) 。 第 三 种 代理 集成 在 一 个 管理 型 的 交换 机 上 ,在 内 部 端口 上 运 
TERR EA 第 四 种 代理 架设 在 新 加 的 设备 上 (如 日 志 服 务 器 、PLC、 
RTU) ,这 些 新 加 入 的 设备 独立 运行 。 


3.3.4.2 综合 风险 分 析 


根据 NSTB 项 目的 定义 ,综合 风险 分 析 (integrated risk analysis) 是 指 通过 
收集 能 源 控制 系统 的 网 络 安全 威胁 .脆弱 性 和 安全 后 果 等 方面 信息 ,来 分 析 能 源 
行业 网 络 安全 态势 。 对 能 源 控制 系统 进行 综合 风险 分 析 需 要 一 整套 安全 建 模 和 
ba 准确 的 风险 评估 能 使 能 源 行 业 利 益 相关 者 优先 考虑 关键 网 络 资产 的 
全 需求 ,并 将 有 限 的 资源 集中 用 于 解决 最 紧迫 的 安全 问题 。 


1. 设计 目标 


NSTB 设 定 了 以 下 两 个 方面 设计 目标 : 

第 一 ,建立 能 源 行业 系统 的 网 络 安全 威胁 .脆弱 性 和 安全 后 果 分 析 能 力 。 研 
究 侧重 于 分 别 对 小 .中 大 规模 集成 网 络 系统 的 威胁 场景 进行 模拟 .识别 与 展示 。 
在 这 些 场景 中 ,综合 风险 分 析 需 要 系统 的 端 到 端的 方式 来 判断 风险 特征 ,并 以 此 
确定 最 佳 安全 行动 时 机 和 方案 。 

第 二 ,研发 用 于 控制 系统 仿真 和 评估 安全 威胁 减缓 措施 的 可 扩展 虚拟 控制 
系统 模拟 工具 。 研 究 工作 包括 开发 一 个 经 济 实用 的 控制 系统 模拟 工具 ,分 析 系 
统 安全 态势 感知 模型 的 鲁 棒 性 ,评估 系统 采用 安全 防护 措施 后 对 系统 正常 运转 
所 带 来 的 影响 


2. 技术 需求 和 挑战 


安全 风险 仿真 和 建 模 工 具 可 以 用 来 模拟 现实 世界 能 源 行业 网 络 安全 攻击 场 
景 , 以 此 来 预测 安全 攻击 后 果 和 不 同行 业 之 间 的 级 联 故障 影响 效果 。 此 外 ,这 些 
工具 还 可 以 用 来 测试 .评判 新 安全 技术 的 有 效 性 。 由 于 缺乏 此 类 工具 ,人 们 目前 
无 法 实现 对 能 源 行业 系统 网 络 风险 的 量化 分 析 和 理解 。 因 此 ,综合 风险 分 析 项 
目 需要 研发 网 络 攻击 和 应 急 响应 仿真 工具 ,建立 一 种 能 源 控制 系统 安全 态势 基 
准 , 开 发 具有 内 置 测 试 框架 和 指南 的 安全 测试 工具 。 但 是 ,在 具体 的 研发 工作 中 
存在 以 下 技术 挑战 : 
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(1) 创建 一 个 安全 风险 矩阵 。 该 矩阵 折 中 综合 量化 现实 网 络 攻 击 场 景 中 的 
网 络 安全 威胁 .脆弱 性 和 安全 后 果 因 素 。 网 络 安全 威胁 ,脆弱 性 和 安全 后 果 每 个 
方面 的 精确 量化 就 不 易 实 现 ,所 以 综合 这 三 方面 因素 的 量化 工作 会 更 加 困难 。 

(2) 研发 控制 系统 网 络 安 全 风险 评估 工具 。 该 工具 包括 工控 系统 功能 优先 
级 排序 和 安全 成 本 核算 功能 。 能 源 控制 系统 复杂 ,功能 繁多 ,实现 优先 级 排序 需 
要 对 能 源 系统 进行 深入 的 系统 分 析 和 功能 分 解 ,实现 安全 成 本 核算 则 需要 对 系 
统 安全 防护 措施 及 其 安全 效果 有 一 个 清晰 准确 的 理解 。 这 些 工 作 在 技术 层面 都 
存在 一 定 的 难度 。 


3. 项 目 里 程 碑 


图 3-23 中 的 7 个 事件 的 含义 分 别 为 : 

(1) 为 能 源 行业 识别 出 可 能 的 控制 系统 网 络 威胁 场景 。 

(2) 验证 适用 于 小 规模 网 络 场景 下 的 端 到 端 安全 威胁 分 析 能 力 。 

(3) 验证 适用 于 中 等 规模 网 络 环境 下 的 端 到 端 安全 威胁 分 析 能 力 。 

(4) 验证 安全 评估 工具 (虚拟 控制 系统 环境 ) 的 初始 运行 能 力 。 

C5) 验证 适用 于 大 规模 网 络 场景 下 的 端 到 端 安全 威胁 分 析 能 力 。 

(6) 提供 一 种 适用 于 能 源 系 统 或 设备 拥有 者 的 端 到 端 安全 威胁 分 析 能 力 。 

Cr) 提供 一 种 能 够 用 来 为 能 源 行业 系统 或 设备 拥有 者 的 全 功能 虚拟 控制 系 
统 环境 工具 。 


2008 年 | [ 20094 | | 2010 | [ 201 年 [20124 | 2013 年 
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威胁 后 果 分 析 能 力 


适用 于 仿真 控制 系统 并 


评估 安全 解决 方案 的 可 
扩展 虚拟 控制 系统 环境 
工具 


图 3-23 综合 风险 分 析 里 程 碑 和 性 能 目标 


根据 综合 风险 分 析 项 目 目标 ,本 项 目 实施 过 程 中 在 各 财 年 设立 了 如 下 里 程 
碑 目 标 : 

(1) 2008 财 年 : 为 能 源 部 门 确定 合理 的 控制 系统 的 网 络 威胁 场景 。 

(2) 2009 财 年 : 在 小 规模 情况 下 ,展示 端 到 端的 风险 分 析 能 力 。 

(3) 2010 财 年 : 在 中 等 规模 情况 下 ,展示 端 到 端的 风险 分 析 能 力 。 验 证 安 
全 评估 工具 的 初始 运行 能 力 一 一 虚拟 控制 系统 环境 (VCSE) 。 
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(4) 2011 财 年 : 在 大 规模 场景 中 ,演示 端 到 端的 风险 分 析 能 力 。 为 能 源 部 
门 利益 相关 者 提供 一 个 完全 集成 的 端 到 端 安全 威胁 分 析 能 力 。 对 能 源 部 门 的 利 
益 相关 者 提供 全 功能 VCSE TH. 


4. 主要 项 目 


(1) 虚拟 控制 系统 环境 (Virtual Control System Environment, VCSE)U9 

© VSCE 目标 

VCSE 模型 能 够 模拟 控制 系统 的 网 络 或 物理 系统 及 其 所 面临 的 安全 威胁 。 
这 种 模拟 便于 对 控制 系统 可 能 遭受 的 威胁 及 其 后 果 进 行 分 析 研 究 。VCSE 模型 
中 的 设备 包括 真实 、 半 实物 模拟 和 仿真 三 种 类 型 ( 见 图 3-24)。VCSE 中 的 安全 
威胁 也 包括 真实 和 模拟 两 种 形态 的 恶意 软件 。 

@ VCSE 工具 箱 

图 3-25 描述 了 VCSE 建 模 者 在 一 个 典型 网 络 物理 系统 中 所 关心 的 所 有 元 
素 。VCSE 建 模 者 可 以 设置 该 图 中 所 示 的 每 个 元 素 , 综 合 风险 分 析 师 则 可 以 有 
选择 性 地 重点 关注 那些 与 安全 风险 相关 的 元 素 。VCSE 工具 箱 主要 包括 人 员 、 
物理 ,模拟 和 仿真 四 类 元 素 。 其 中 ,人 员 元 素 既 可 以 表示 真正 的 运营 商 、 综 合 风 
险 分 析 师 和 工程 师 , 也 可 以 表示 恶意 的 攻击 者 。 物 理 套 件 可 以 代表 系统 中 各 种 
设备 、 软 件 ,以 及 模拟 攻击 的 恶意 软件 ,这 些 恶意 软件 已 经 成 功 集成 到 VCSE 模 
型 当中 。 半 实物 模拟 套件 拥有 模拟 控制 器 和 接 入 仿真 软件 的 接口 ,能够 模拟 混 
合 异 构 网 络 。 仿 真 套件 内 嵌 了 和 桑 迪 亚 国家 实验 室 研 发 的 Umbra 仿真 软件 的 所 
有 模型 ,并 支持 将 这 些 模 型 集成 到 VCSE 工具 中 。 

在 实际 应 用 中 ,VCSE 已 成 为 分 析 控 制 系统 复杂 威胁 问题 和 物理 信息 系统 
安全 设计 的 首选 工具 ,该 工具 具有 如 下 几 类 功能 : 
系统 完整 性 验证 。 由 于 系统 中 的 一 些 细节 可 能 会 对 整个 系统 产生 较 大 
影响 ,开发 系统 完整 性 模型 需要 非常 深入 全面 的 研究 。VCSE 促进 了 

一 过 程 ,提供 了 一 个 容易 理解 的 “完整 性 验证 ”系统 模型 ,在 模型 开发 

过 程 中 发 挥 着 重要 作用 。 
概念 探索 和 验证 。VCSE 模型 作为 真实 系统 的 模拟 ,综合 风险 分 析 师 可 
以 安全 地 模拟 执行 攻击 者 可 能 对 真实 系统 发 起 的 任何 攻击 ,并 进行 分 析 
和 理解 。 此 外 ,综合 风险 分 析 师 可 以 对 尚未 发 现 ,但 理论 上 可 能 存在 的 
缺陷 和 漏洞 进行 建 模 与 测试 。 
设计 和 测试 。VCSE 模型 提供 了 一 个 理想 的 环境 ,分 析 师 可 以 使 用 真正 
的 恶意 软件 对 系统 进行 攻击 ,反复 进行 “设计 一 实施 一 测试 ?过 程 ,以 此 
分 析 确 定 系统 漏洞 的 安全 缓解 技术 。 
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图 3-24 信息 物理 系统 典型 系统 图 (来 源 : 文献 [14] Figure 1) 
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图 3-25 VCSE 工具 箱 ( 来 源 : 文献 [14] Figure 2) 
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© VCSE 模型 应 用 

根据 VCSE 模型 ,开发 团队 对 一 系列 控制 系统 进行 了 模拟 建 模 ,并 对 其 可 能 
遭受 的 攻击 及 其 后 果 进 行 模拟 ,具体 模拟 对 象 包括 炼 油 厂 RTU、 配 电网 络 、 燃 烧 
炉 系统 PLC 等 设备 .系统 和 网 络 。 此 外 ,在 训练 模式 下 ,开发 人 员 使 用 图 形 化 敌 
FÆ TH (Graphical Adversary Modeling Environment,GAME) 的 一 个 扩展 
版 本 驱动 Metasploit 工具 ,来 逆向 推出 恶意 软件 代码 。 

图 3-26、 图 3-27 和 图 3-28 分 别 表 示 了 小 型 炼油 厂 `. 电 力 配 电 系统 和 燃烧 炉 
系统 在 遭受 攻击 前 和 攻击 后 的 VCSE 模型 图 。 此 外 ,VCSE 还 模拟 了 如 图 3-29 
所 示 的 DNS 攻击 对 控制 系统 的 影响 。 攻 击 者 试图 发 布控 制 系统 中 RTU 的 虚 
IÈ IP 地址 。 一 且 成 功 ,SCADA 系统 将 终止 对 真实 系统 的 连接 ,并 连接 到 攻击 
者 已 经 建立 好 的 虚假 控制 系统 。 一 旦 上 述 转移 创建 成 功 ,攻击 者 就 能 接管 真实 
SCADA 系统 ,并 进一步 实施 控制 。 实 际 研究 表明 ,VCSE 能 通过 对 实际 系统 的 
模拟 ,从 较 小 的 方面 进行 较为 全 面 的 分 析 。 分 析 师 可 以 使 用 模型 来 确定 攻击 的 
影响 程度 ,这 一 方式 可 以 有 效 降低 攻击 的 成 本 与 风险 。 


Kd 3-26 ”小 型 炼油 厂 在 遭受 网 络 攻击 前 和 攻击 后 的 VCSE 模型 图 (来 源 : 文献 [14] Figure 3) 
(2) 结果 建 模 工具 (Consequence Modeling Tool. CMT)U9 
(D CMT 简介 

由 桑 迪 亚 国 家 实验 室 与 麻 省 理工 学 院 共同 建立 的 后 果 分 析 方 法 和 框架 为 
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图 3-27 电力 配 电 系 统 在 遭受 网 络 攻 击 前 和 攻击 后 的 VCSE 模型 图 (来 源 : 文献 [14] Figure 4) 
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图 3-28 PLC 控制 下 的 燃烧 炉 在 遭受 网 络 攻击 前 和 攻击 后 的 VCSE 模型 图 
(来 源 : 文献 [14] Figure 5) 


NSTB 的 结果 建 模 工具 (CMT) 项 目 提供 了 研究 基础 。 该 工具 主要 用 于 当地 区 
域内 电网 建 模 。CMT 基于 一 个 对 环境 、 安 全 ,经 济 等 后 果 进 行 分 类 的 实用 性 排 
名 列表 ,并 通过 对 系统 内 各 个 物理 元 素 在 遭受 攻击 时 对 系统 产生 的 各 类 后 果 进 


ES 
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Attacker ` * 
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mE" d 


SCADA System 
图 3-29 ”通过 虚假 全 地 址 发 起 的 网 络 攻击 (来 源 : 文献 [14] Figure 6) 


imulated Physical 
System Used as 
Diversion 


行 分 析 , 生 成 一 个 价值 树 模型 。 同 时 ,该 工具 还 为 处 于 威胁 场景 中 的 工控 系统 的 
总 体 安全 后 果 提 供 了 各 类 性 能 指标 。 通 过 这 些 信 息 , 可 以 对 出 现在 工控 系统 中 
的 各 类 安全 威胁 的 危害 程度 进行 分 析 和 排名 。 

在 关键 基础 设施 保护 的 领域 ,可 以 从 本 地 、 地 区 和 国家 层面 进行 后 果 分 析 ， 
每 个 层面 都 可 以 考虑 安全 威胁 对 其 他 关键 基础 设施 的 级 联 影响 及 后 果 。 为 了 识 
别 工 控 系 统 可 能 遇 到 的 威胁 和 攻击 向 量 ,CMT 可 以 在 其 遭受 网 络 攻击 时 ,对 物 
理 影响 后 果 进 行 建 模 分 析 。 

© 技术 路 线 

首先 ,CMT 为 基础 设施 利益 相关 者 提供 服务 ,帮助 其 对 工控 系统 遭受 网 络 
攻击 后 果 进 行 分 析 , 主要 分 析 基 础 设施 停机 所 导致 的 资本 支出 .收入 损失 、 民 众 
的 生活 状态 及 情绪 波动 等 几 个 维度 的 后 果 。 

其 次 ,定义 或 实现 以 下 内 容 。 即 定义 影响 的 类 别 ; 在 各 个 类 别 , 声 明 该 影响 
对 其 他 部 门 的 重要 性 ,定义 该 影响 的 安全 对 策 ; 定 义 该 影响 与 物理 效应 的 关系 ; 
定义 电力 系统 及 其 用 户 关系 ;定义 在 电力 系统 中 产生 的 后 果 影 响 ; 创 建 价值 树 。 

最 后 ,通过 结果 分 析 引 擎 ,分 析 系 统 中 的 任意 功能 ,量化 评估 遭受 网 络 攻击 
的 后 果 。 项 目 组 利用 结果 排名 架构 进行 软件 开发 ,对 分 析 引 擎 生成 的 报告 进行 
评估 ,并 以 此 建立 价值 树 模 型 。 这 一 工具 能 够 对 每 一 个 威胁 向 量 进行 分 析 ,并 将 
MTS. 影响 进行 评估 。 

影响 分 类 
ty M 首先 需要 对 事件 的 影响 类 别 进 行 定 义 。 在 图 3-30 所 
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图 3-30 定义 在 CMT 用 户 接口 中 ,用 于 构建 属性 树 的 影响 分 类 图 (来 源 : 文献 [15] Figure D 


示 的 例子 中 ,影响 类 别 被 分 为 经 济 ,形象 .健康 安全 、 环 境 这 四 个 方面 。 对 各 个 影 
响 类 别 进 行 两 两 比较 ,将 选 定 的 两 个 目标 的 相对 重要 程度 用 0 一 9 表示 (0 代表 
重要 性 完全 相同 ,数值 越 高 ,代表 两 者 重要 性 差距 越 大 )。 通 过 这 项 评估 可 以 分 
析出 各 个 类 别 的 相对 重要 性 。 

@ 表现 评估 

在 对 各 种 事件 影响 进行 分 类 后 ,需要 对 每 一 类 事件 影响 进行 多 方面 的 表现 
(或 反馈 ) 评 估 。 图 3-31 的 例子 中 ,将 事件 影响 从 人 公众、 客户、 政治 三 方面 进行 评 
估 。 可 以 看 出 这 一 例 事件 的 政治 影响 相对 处 于 主要 位 置 ,对 客户 影响 次 之 ,对 公 
众 的 影响 相对 较 小 。 

@ 等 级 评定 

在 对 事件 影响 的 各 项 表现 进行 评估 后 ,需要 在 各 方面 表现 中 进行 事件 等 级 的 
评定 ,以 此 来 确定 事件 造成 后 果 的 严重 程度 及 需要 采取 的 后 续 措 施 。 如 图 3-32 所 
WFR 0 代表 事件 几乎 不 会 造成 影响 ;等 级 1 代表 需要 对 工业 规范 进行 小 程度 
的 政治 干预 ;等 级 2 代表 需要 一 些 政策 推动 ,对 工业 标准 及 规范 进行 增补 或 修 
订 ; 而 等 级 3 代表 事件 影响 严重 , 吸 须 出 台 相 关 政 策 , 对 现 有 工业 规范 进行 较 大 
规模 的 改革 。 
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图 3-31 定义 在 CMT 用 户 接口 中 ,用 于 构建 属性 树 的 性 能 测试 图 (来 源 : 文献 [15] Figure 2) 


LLL d 

B itsscssech aa baienn VEIY STROE Y md EXTREMEL Y 
‘7 ves SINONAY 

i tturasa hum SSTIOMGL Y ann VERTI STROMCU Y 


B earam boon VERY STRONGLY amd DETREMELY 
somany 


图 3-32 定义 在 CMT 用 户 接口 中 ,用 于 构建 属性 树 的 构建 尺度 图 (来 源 : 文献 [15] Figure 3) 


通过 以 上 三 方面 的 分 析 , 可 以 构建 价值 树 模型 ,以 此 对 威胁 向 量 可 能 造成 的 后 
果 及 影响 进行 全 面 的 测量 评估 ,以 此 对 攻击 事件 进行 全 面 评价 ,并 制定 应 急 措 施 。 


B 关 国 关键 基础 设施 安全 防护 体系 与 策略 


© CMT 用 户 界 面 
CMT 提供 了 如 图 3-33 所 示 的 用 户 界 面 , 在 结果 建 模 框 架 下 ,为 用 户 提供 价 
值 树 模型 .性 能 指标 、 后 果 分 析 等 信息 。 


图 3-33 CMT 用 户 界面 概览 图 (来 源 : 文献 [15] Figure 4) 


在 用 户 界面 当中 ,可 以 对 电力 系统 进行 交互 式 可 视 化 呈现 ,如 图 3-34 所 示 。 
一 方面 ,可 以 展现 整体 系统 的 拓扑 结构 , 男 一 方面 ,可 以 对 系统 内 的 各 组 件 状态 
进行 监控 。 

该 工具 还 支持 对 系统 内 各 节点 的 状态 进行 如 图 3-35 所 示 的 设置 ,包括 节点 
类 型 .威胁 等 级 ,在 突 发 事件 中 ,需要 的 备份 时 间 、 修 复 过 程 的 成 本 、 接 入 节点 的 
用 户 类 型 及 数量 。 通 过 这 些 设 置 , 用 户 可 以 直观 观察 到 : 当 某 一 节点 遭受 威胁 或 
失效 时 ,对 整个 系统 和 其 他 节点 造成 的 影响 .系统 恢复 时 间 及 成 本 ,以 及 可 能 的 

社会 影响 等 信息 。 设 置 界面 与 分 析 报 表 见 表 3-3, 


3.3.4.3 系统 脆弱 性 评估 (system vulnerability assessments) 


对 SCADA/EMS 系统 的 脆弱 性 评估 ,能够 发 现 可 能 被 利用 的 网 络 安全 漏 
洞 .可 能 允许 未 经 授权 的 访问 和 关键 数据 穷 取 等 漏洞 。NSTB 系统 脆弱 性 评估 
项 目 对 控制 系统 中 最 具 代表 性 的 电力 ,石油 和 天 然 气 行业 进行 评估 ,并 促进 新 一 
代 控 制 系统 的 研发 ,鼓励 快速 部 署 安全 补丁 ,并 指导 设计 未 来 系统 和 编码 方式 。 
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图 3-34 CMT 系统 架构 概览 (来 源 : 文献 [15] Figure 5) 
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图 3-35 CMT 系统 设置 界面 (来 源 : 文献 [15] Figure 6) 
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表 3-3 CMT 性 能 测试 表 


性 能 测试 等 级 

经 济 -代价 收益 成 百 上 千 美 元 

经 济 -修复 .替换 上 万 美元 
图 像 -公开 在 本 地 媒体 重复 公开 传播 
图 像 -客户 没有 影响 
图 像 -政治 没有 影响 

健康 .安全 -公共 没有 影响 

健康 .安全 -实用 的 工人 对 于 修复 工作 相关 的 工人 有 较 低 的 安全 影响 
环境 没有 影响 
1. 设计 目标 


系统 脆弱 性 评估 项 目 计划 实现 以 下 目标 : 

CD 对 电力 ,石油 和 天 然 气 行业 中 最 具 代表 性 的 12 个 工控 系统 进行 评估 ， 
每 年 与 产业 合作 进行 三 个 系统 的 漏洞 评估 。 每 个 评估 将 严格 审查 一 系列 能 源 部 
门 的 可 能 被 利用 和 遭受 网 络 攻击 的 潜在 漏洞 。 评 估 工 作 完 成 后 ,评估 报告 提供 
给 供应 商 , 基 于 此 信息 来 实现 补丁 修复 ,以 及 为 系统 用 户 提供 升级 加 固 服务 。 供 
应 商 也 可 以 利用 这 些 评 估 信 息 在 未 来 系统 设计 中 考虑 进行 安全 设计 。 

(2) 将 控制 系统 网 络 安全 评估 功能 转移 到 私营 部 门 当 中 ,逐步 开展 私营 部 
门 系统 脆弱 性 评估 活动 。 


2. 技术 挑战 和 需求 


缺乏 工业 方法 和 资源 来 检测 和 识别 网 络 安全 漏洞 ,这 是 能 源 行业 面临 的 一 
个 严重 问题 。 增 加 企业 网 络 和 控制 系统 之 间 的 连接 网 络 ,也 可 能 在 供应 商 和 运 
营 商 的 操作 范围 引入 新 的 漏洞 。 快 速 发 现 控制 系统 漏洞 ,部署 相 关 的 安全 补丁 
对 于 保护 能 源 行业 控制 系统 来 说 是 至 关 重 要 的 。 

为 应 对 这 些 挑战 ,系统 脆弱 性 评估 项 目 需 要 重点 开展 以 下 工作 : 

CD 设计 脆弱 性 评估 方法 。 

(2) 识别 最 佳 实践 ,减少 能 源 控制 系统 漏洞 。 

(3) 在 不 影响 操作 系统 性 能 前 提 下 ,研究 缓解 系统 漏洞 的 措施 。 
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(4) NSTB 项 目 参与 者 ,测试 设备 供应 商 和 资产 所 有 者 相互 合作 ,共同 开展 
关键 基础 设施 网 络 安全 漏洞 发 现 与 修复 工作 。 


3. 项 目 里 程 碑 


图 3-36 中 的 7 个 里 程 碑 事 件 的 含义 分 别 如 下 : 

(1) 评估 应 用 于 电力 ` 石 油 和 天 然 气 的 最 具有 代表 性 的 3 种 工业 控制 系统 
控制 系统 ,其 中 ,电力 行业 系统 包括 电力 变电站 。 

(2) 开始 启动 将 控制 系统 网 络 安全 评估 工作 推广 到 私营 部 门 的 工作 。 

(3) 利用 NSTB 资源 ,资助 工业 界 主 导 两 个 典型 系统 的 脆弱 性 评估 工作 。 

(4) 将 一 部 分 SCADA NSTB 的 测试 资源 开放 给 学 术 研 究 者 、 制 造 商 和 
用 户 。 


2008 年 2009 年 2010 年 2011 年 2012 年 


评估 应 用 于 电力 、 石 油 
和 天 然 气 的 最 具有 代表 
性 的 12 种 工业 控制 系统 


将 控制 系统 网 络 安全 评 
估 工 作 推广 到 私营 部 门 


图 3-36 系统 脆弱 性 评估 项 目 里 程 碑 


根据 系统 脆弱 性 评估 项 目的 目标 ,本 项 目 实 施 过 程 中 在 各 财 年 设立 了 如 下 
里 程 碑 目 标 : 

(1) 2008—2011 财 年 : 每 年 对 3 个 最 有 代表 性 的 ,可 用 于 电力 、 石 油 和 天 然 
气 工 业 ( 包 括 变电站 ) 的 工业 控制 系统 进行 评估 。 

(2) 2009 财 年 : 将 系统 脆弱 性 评估 项 目 转移 到 私营 部 门 进行 ,利用 NSTB 
的 资源 ,对 工业 进行 支持 ,对 两 个 系统 进行 脆弱 性 评估 o 

(3) 2011 财 年 : 将 NSTB 的 部 分 可 用 资源 开放 给 研究 人 员 、 供 应 商 和 用 户 。 


4. 主要 项 目 


CL) 常见 系统 漏洞 分 析 " 

O 项 目 目标 

在 与 能 源 行 业 相 关 的 工业 控制 系统 当中 存在 一 些 脆弱 性 或 漏洞 问题 ,针对 
这 些 问 题 ,该 项 目 旨 在 为 政府 及 能 源 行业 提供 安全 解决 方案 。 
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C 普遍 脆弱 性 评分 系统 (Common Vulnerability Scoring System, CVSS) 

在 SCADA 系统 中 最 重要 的 漏洞 是 那些 未 经 授权 的 对 物理 系统 的 访问 控制 
漏洞 。SCADA 系统 中 较为 脆弱 的 可 用 性 和 功能 也 可 能 对 控制 系统 和 基础 设施 
管理 产生 重大 影响 。 对 SCADA 系统 的 评估 使 用 普遍 脆弱 性 评分 系统 
(CVSS). CVSS 提供 了 一 种 包括 CVSS 基础 测量 、 暂 态 测量 和 环境 测量 的 标准 
评估 方法 。 

通过 如 表 3-4 所 示 的 CVSS 基础 测量 ,安全 软件 开发 和 系统 管理 可 以 减少 
SCADA 系统 漏洞 的 数量 ,在 设计 和 实施 监控 产品 过 程 中 ,遵循 “最 小 特权 原 
则 ”, 评 估 脆 弱 性 严重 程度 。 

表 3-4 CVSS 基础 测量 表 
基本 特征 评估 准则 等 级 


攻击 者 远程 攻击 主机 的 能 力 越 容 
易 ,那么 系统 就 越 脆弱 


访问 向 量 脆弱 性 是 如 何 被 利用 的 


当 攻 击 者 获得 了 目标 系统 的 访 
访问 复杂 度 问 权 限 后 ,攻击 者 利用 系统 脆弱 
性 来 实施 攻击 的 复杂 度 


攻击 者 实施 攻击 的 复杂 度 越 低 , 那 
么 说 明 系 统 的 脆弱 性 问题 越 严 重 


攻击 者 要 想 攻击 成 功 一 个 目标 | 如 果 攻 击 者 攻击 一 个 系统 的 过 程 
身份 认证 系统 ,所 需要 经 过 的 身份 认证 | 中 ,所 需要 的 身份 认证 次 数 越 少 
次 数 那么 说 明 系 统 越 脆弱 


数据 的 机 密 性 对 于 成 功利 用 系 如 果 系 统 的 机 密 性 问题 对 于 攻击 


机 密 性 影响 者 实施 攻击 的 影响 越 大 ,那么 说 明 
统 实 5 
统 隐 弱 性 来 实施 攻击 的 影响 |e e 
如 果 系统 的 完整 性 问题 对 于 攻击 
,sw ws | 数据 的 完整 性 对 于 成 功利 用 系 | ya ee 
数据 完整 性 影响 | pakamp 。 | 者 实施 攻击 的 影响 越 大 ,那么 说 明 
系统 越 脆弱 


系统 前 性 问题 对 
P 数据 的 可 用 性 对 于 成 功利 用 系 如 果 系 统 的 可 用 性 问题 对 于 攻击 


可 用 性 影响 i n 者 实施 攻击 的 影响 越 大 ,那么 说 明 
统 胸 弱 性 来 实施 攻击 的 影响 。 | e 


与 基础 测量 一 样 ,如 表 3-5 所 示 的 暂 态 测量 ,直接 对 系统 漏洞 进行 评估 ,但 
这 种 测量 侧重 于 监测 随 着 时 间 变 化 的 属性 ,并 据 此 提供 漏洞 修复 技术 。 

在 不 同 的 环境 中 的 相同 的 漏洞 对 SCADA 系统 构成 的 风险 也 可 能 不 同 。 如 
表 3-6 所 示 的 环境 测量 对 SCADA 系统 进行 评估 。 这 些 指标 反映 了 其 在 不 同 环 
境 中 受 影响 的 组 件 的 重要 性 。 
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R 3-5 CVSS 暂 态 测量 表 
暂 态 特征 评估 准则 等 级 
利用 性 当前 系统 状态 可 被 利用 性 或 代 | 一 个 脆弱 性 越 容易 被 利用 ， 
码 可 用 性 那么 系统 就 越 脆弱 
一 个 脆弱 性 问题 越 不 容易 
修复 等 级 可 修复 的 等 级 修复 ,那么 就 说 明 系统 脆 弱 
性 问题 越 严重 
脆弱 性 问题 在 现 有 技术 报告 中 | 一 个 脆弱 性 问题 越 容 易 被 
技术 报告 的 机 密 性 的 存在 性 或 者 问题 的 描述 详细 | 制造 商 或 其 他 渠道 验证 , 那 
程度 么 这 个 脆弱 问题 越 严重 
表 3-6 CVSS 环境 测量 表 
环境 特征 评估 准则 等 级 
攻击 破坏 所 带 来 的 潜在 的 生命 | 破坏 所 带 来 的 损失 越 大 , 则 
a ich 或 设备 财产 损失 系统 脆弱 性 问题 越 严重 
存在 脆弱 问题 的 系统 越 分 
- HERZ 可 题 的 系统 的 比 
攻击 目标 分 布 性 存在 脆弱 问题 的 系统 的 比例 布 ,那么 脆弱 性 问题 越 严 重 
受 损 的 IT 系统 或 设备 对 用 户 组 | 系统 对 数据 的 机 密 性 、 完 整 
安全 要 求 织 的 重要 性 ,一般 是 以 数据 的 机 | 性 和 可 用 性 要 求 越 高 ,那么 


密 性 ,完整 性 和 可 用 性 来 评估 


@ 网 络 安全 风险 识别 
NSTB 在 改善 操作 系统 和 网 络 安全 方面 取得 的 显著 成 就 包括 :通过 减少 可 
用 的 端口 和 服务 的 数量 来 减少 SCADA 系统 的 主机 暴露 可 能 性 ;开发 漏洞 修复 
补丁 ;NSTB 利用 CVSS 评估 了 SCADA 软件 及 生产 设备 ,并 分 析 了 如 表 3-7 所 
示 的 10 种 最 关键 的 ICS 脆弱 性 。 


脆弱 问题 越 严重 


表 3-7 10 个 最 关键 的 ICS 脆弱 性 
等 级 影响 .脆弱 性 CVSS 脆弱 性 分 数 
最 有 可 能 访问 .未 打 补丁 的 脆弱 性 问题 9.8 
ji 监督 访问 控制 .使 用 脆弱 性 远程 显示 协议 9.8 
3 监督 控制 访问 、 网 页 人 机 交互 界面 脆弱 问题 9.8 
4 工业 控制 系统 主机 访问 .工业 控制 系统 服务 中 的 缓冲 区 
游 出 问题 
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续 表 
等 级 影响 .脆弱 性 CVSS 脆弱 性 分 数 
工业 控制 系统 主机 访问 .不 恰当 的 身份 认证 问题 9.3 
6 工业 控制 系统 的 应 用 访问 \ 不 恰当 的 访问 控制 或 授权 T 
问题 
工业 控制 系统 身份 认证 凭证 收集 问题 .使 用 明文 数据 来 T" 


实现 标准 信息 系统 的 身份 认证 协议 
工业 控制 系统 身份 认证 凭证 收集 问题 .工业 控制 系统 中 


S| 传输 层 没有 采取 防护 措施 

。 | 监督 访问 控制 .工业 控制 系统 数据 或 命令 遭受 插入 或 算 m 
改 攻击 问题 : 

10 历史 数据 访问 .SQL 注入 攻击 问题 8.6 


CVSS 从 多 个 漏洞 数据 库 ( 如 国家 漏洞 数据 库 ) 中 的 数据 进行 分 析 , 并 根据 
当前 时 间 和 特定 环境 确定 漏洞 的 严重 性 及 修复 优先 级 。 一 般 来 说 ,在 同样 的 基 
础 和 环境 下 ,已 知 漏洞 的 优先 级 更 高 。 表 3-8 总 结 了 未 修复 的 已 公开 系统 脆弱 
性 的 安全 特征 。 


表 3-8 未 修复 的 已 公开 系统 脆弱 性 的 安全 特征 总 结 表 


未 修复 的 已 公开 系统 脆弱 性 
工业 控制 系统 主机 或 应 用 被 攻击 者 劫持 或 捕获 后 ， 
可 能 后 果 可 能 导致 发 生 拒绝 服务 攻击 、 代 码 注 入 攻击 、 数 据 丢 
失 或 安全 防护 绕 过 等 侧 信道 攻击 
" pe itil] 系统 2 又 访问 ， 
工业 控制 系统 影响 rua 统 组 件 的 未 授权 访问 ,最 有 可 能 的 访 
问 向 量 
脆弱 组 成 部 分 存在 于 主机 上 的 未 修复 的 操作 系统 ,应 用 ,服务 和 库 
检测 的 难 易 程度 容易 
攻击 可 察觉 性 高 
互联 网 攻击 频率 高 
修复 代价 低 
在 工业 控制 系统 中 的 存在 广泛 程度 | 高 


远程 显示 协议 和 应 用 程序 可 用 于 远程 访问 ,为 远程 机 器 提供 登录 和 远程 控 
制 . 图 形 显示 功能 。 允 许 远 程 显 示 的 应 用 程序 和 操作 系统 服务 被 广泛 使 用 于 
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ia 


ICS 中 ,用 于 远程 管理 ICS 主机 或 者 对 操作 屏幕 和 其 他 ICS 应 用 程序 的 访问 。 

用 于 ICS 的 远程 显示 协议 存在 一 些 漏 洞 包括 : 可 接受 来 自任 何 地 方 的 连 
接 ; 证 书 使 用 明文 传输 ;加 密 算法 不 够 完整 ;即使 使 用 强加 密 , 如 果 远 程 显示 端的 
主机 被 破坏 ,攻击 者 也 可 能 由 此 访问 远程 ICS 主机 。 

使 用 远程 显示 软件 来 对 ICS 进行 远程 访问 和 监控 ,这 一 行为 可 能 成 为 ICS 
中 最 严重 的 漏洞 。 因 为 它 可 能 允许 远程 用 户 在 未 经 授权 的 情况 下 对 图 形 监 控 软 
件 以 及 其 他 功能 进行 远程 访问 。 表 3-9 总 结 了 远程 显示 协议 的 安全 漏洞 特征 。 

表 3-9 远程 显示 协议 的 安全 特征 总 结 表 
远程 显示 协议 的 利用 

可 能 导致 拒绝 服务 攻击 ,代码 注入 攻击 数据 丢失 或 
安全 防护 绕 过 等 
未 授权 访问 工业 控制 系统 组 件 、 未 授权 远程 访问 监 
控 图 形 化 软件 ,及 其 他 可 被 远程 控制 的 功能 
允许 远程 连接 的 工业 控制 系统 主机 及 允许 远程 用 户 


可 能 后 果 


工业 控制 系统 影响 


Rpa 访问 使 用 的 应 用 
检测 的 难 易 程度 容易 

攻击 可 察觉 性 高 

修复 代价 低 


在 工业 控制 系统 中 的 存在 广泛 程度 | 高 


ICS 开发 的 网 络 服务 往往 容易 受到 攻击 ,攻击 者 可 以 利用 ICS Web 服务 器 
获得 未 经 授权 的 访问 。 系 统 架构 经 常 使 用 网 络 隔离 区 保护 关键 系统 并 限制 网 络 
组 件 的 开放 。 然 而 ,ICS 中 隔离 区 的 Web 服务 器 漏洞 也 可 能 通过 允许 访问 外 部 
边界 ,成 为 针对 ICS 攻击 的 突破 口 。 并 且 , 低 安全 水 平 的 Web 服务 器 可 能 会 将 
更 多 的 漏洞 暴露 给 攻击 者 。 表 3-10 给 出 了 网 页 应 用 安全 特征 。 

此 外 ,本 项 目 通过 评估 ICS 安全 风险 发 现 , 诸 如 较 弱 的 认证 以 及 会 话 跟踪 、 
SQL 注入 和 跨 站 点 脚本 漏洞 ,都 可 能 导致 未 经 授权 的 用 户 对 Web 服务 器 和 应 
用 程序 进行 访问 。 同 样 地 , Web 应 用 程序 或 服务 器 上 的 漏洞 也 可 能 会 对 物理 系统 
产生 风险 。 这 些 漏洞 可 能 导致 对 图 形 监控 软件 的 未 经 授权 远程 访问 。 此 外 ,缓冲 
区 溢出 漏洞 是 最 常见 的 输入 验证 缺陷 类 型 漏洞 ,这 往往 是 由 程序 员 的 失误 造成 的 。 
利用 缓冲 区 溢出 ,攻击 者 可 能 获得 程序 的 特权 ,并 利用 代码 创建 交互 式 会 话 , 以 及 
发 出 命令 。 通 过 缓冲 区 溢出 攻击 进行 远程 代码 执行 是 一 种 常见 的 攻击 方法 , 进 
而 在 未 经 授权 的 情况 下 访问 主机 。 表 3-11 给 出 了 缓冲 区 溢出 安全 漏洞 特征 。 
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表 3-10 ICS 网 页 应 用 安全 特征 总 结 表 
工业 控制 系统 网 页 应 用 脆弱 性 
用 户 账 号 泄露 或 用 户 回话 遭受 劫持 
可 能 后 果 资源 或 功能 暴露 给 非 目 标 执行 者 ,这 可 能 会 给 攻击 者 
提供 敏感 信息 或 给 攻击 者 执行 任意 代码 带 来 方便 


未 授权 访问 网 页 人 机 交互 界面 ,网 页 服务 器 或 其 他 网 


工业 控制 系统 影响 页 应 用 和 功能 ,可 能 未 授权 远程 访问 到 图 形 化 监控 软 
件 ,及 其 他 集成 到 了 网 页 应 用 中 的 功能 
检测 的 难 易 程度 中 到 高 
攻击 者 可 察觉 性 高 
修复 代价 低 


在 工业 控制 系统 中 存在 广泛 程度 | 高 


表 3-11 缓冲 区 溢出 特征 总 结 表 
工业 控制 系统 服务 中 的 缓冲 区 溢出 问题 


可 能 导致 拒绝 服务 攻击 、 代 码 注入 攻击 、 数 据 丢 失 或 
可 能 后 果 
安全 防护 绕 过 等 
" 对 工业 控制 系统 组 件 的 未 授权 访问 ,一 般 是 发 生 在 不 
工业 控制 系统 影响 同 的 安全 区 域 
SEHE 或 接受 2& 3 d 或 其 hy 
脆弱 组 件 发 生 在 解析 或 接受 解析 网 络 流量 的 服务 或 其 他 应 
用 中 
检测 的 难 易 程度 容易 
攻击 者 可 察觉 性 高 
互联 网 攻击 频率 高 
修复 代价 低 
脆弱 广泛 存在 程度 普遍 存在 
在 工业 控制 系统 中 存在 广泛 程度 | 普遍 存在 


身份 验证 一 般 用 于 执行 访问 控制 。 较 弱 的 身份 验证 可 能 会 导致 访问 控制 失 
灵 。ICS 安全 评估 表明 ,针对 处 理 数据 和 控制 功能 的 访问 控制 都 十 分 脆弱 ,它们 
不 需要 身份 验证 ,或 很 容易 进行 规避 。 许 多 自 定义 的 ICS 应 用 程序 使 用 了 不 当 
的 身份 验证 ,或 根本 没有 任何 身份 验证 机 制 。 一 个 常见 的 错误 是 客户 端 身份 验 
证 , 即 只 在 本 地 客户 端 对 用 户 进行 身份 验证 。 由 于 身份 验证 所 需 的 信息 同样 存 
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储 在 客户 端 ,攻击 者 很 容易 提取 这 些 信息 ,或 者 修改 客户 端 ,以 此 规避 身份 验证 。 
表 3-12 给 出 了 不 恰当 的 认证 方式 的 安全 特征 。 

表 3-12 ICS 应 用 中 不 恰当 的 认证 方式 

工业 控制 系统 应 用 中 身份 认证 不 恰当 


可 能 后 果 安全 防护 身份 验证 绕 过 
对 工业 控制 系统 应 用 的 未 授权 访问 ,对 监控 功能 的 
业 控 制 系统 影 
TE A 未 授权 远程 访问 
工业 控制 系统 允许 远程 连接 的 主机 和 允许 用 户 远程 
脆弱 组 件 访问 的 应 用 
检测 的 难 易 程度 中 
攻击 者 可 察觉 性 m 
修复 代价 低 到 高 
攻击 频率 有 时 
在 工业 控制 系统 中 存在 广泛 程度 | 高 


访问 控制 机 制 能 够 限制 访问 资源 和 服务 的 网 络 .主机 和 ICS 的 范围 ,操作 者 
及 使 用 条 件 。 当 账号 .应 用 程序 或 主机 受到 攻击 时 ,造成 的 影响 取决 于 它们 的 特 
权 等 级 。 一 旦 攻击 者 获得 了 一 台 主 机 , 便 可 以 据 此 获得 分 区 和 访问 控制 权 。 一 
般 情 况 下 ,一 些 设施 被 ICS 默认 作为 根 用 户 ( 组 ) 进 行 服务 。 很 多 不 必要 的 服务 
对 此 特权 级 别 默认 开放 ,这 样 做 可 能 使 系统 资源 暴露 在 本 来 可 预防 的 风险 之 下 。 

在 ICS 的 设计 和 实现 中 ,一 旦 发 现 某 些 服 务 具 有 漏洞 ,通过 对 某 些 特权 等 级 
进行 必要 的 限制 ,可 以 将 攻击 面 以 及 遭受 攻击 的 影响 水 平 显著 降低 。 服 务 的 权 
限 是 通过 用 户 的 权利 限制 的 。 对 任何 服务 的 开发 都 可 能 让 攻击 者 利用 服务 网 络 的 
权限 来 立足 于 ICS 当中 。 攻 击 者 还 可 能 利用 服务 运行 漏洞 对 自身 特权 进行 升级 ， 
以 获得 更 多 的 权限 。 一 旦 攻击 成 功 ,攻击 者 可 以 作为 一 个 特权 用 户 拥有 对 主机 完 
全 访问 的 权限 。ICS 中 不 必要 的 功能 协议、 服务 和 应 用 程序 都 会 增加 遭受 攻击 的 
可 能 ,并 增加 后 果 的 严重 性 。 表 3-13 给 出 了 不 恰当 的 访问 控制 的 安全 漏洞 特征 。 

表 3-13 不 恰当 的 访问 控制 
工业 控制 系统 应 用 中 不 恰当 的 访问 控制 


安全 防护 身份 验证 绕 过 ,包括 信息 泄露 .拒绝 服务 攻 
击 , 任 意 代 码 执行 等 


工业 控制 系统 影响 对 工业 控制 系统 功能 的 未 授权 访问 
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续 表 


工业 控制 系统 应 用 中 不 恰当 的 访问 控制 


脆弱 组 件 工业 控制 系统 网 络 , 主 机 和 功能 
检测 的 难 易 程 度 中 
攻击 者 可 察觉 性 高 
修复 代价 低 到 高 
攻击 频率 经 常 
脆弱 广泛 存在 程度 高 
在 工业 控制 系统 中 存在 广泛 程度 | 普遍 存在 


在 ICS 中 ,IT 系统 的 常见 功能 经 常 通过 非 加 密 的 服务 来 实现 。 虽 然 已 经 拥 
有 更 安全 的 替代 方案 ,这 些 不 被 使 用 的 服务 仍然 存在 于 许多 ICS 中 ,并 处 于 活路 
状态 。 对 IT 协议 进行 明文 身份 验证 ,这 一 行为 可 能 在 传输 过 程 中 被 攻击 者 嗅 探 
到 ,并 以 此 通过 系统 验证 。 如 果 攻 击 者 能 够 获取 用 户 名 和 密码 ,他 能 够 合法 登录 
到 系统 ,并 拥有 用 户 特权 。 出 于 这 个 原因 , 纯 文 本 远程 登录 服务 应 该 替换 为 加 密 
服务 。 使 用 不 安全 的 协议 和 服务 连接 到 ICS 主机 同样 会 在 系统 中 创建 一 个 高 风 
险 的 访问 路 径 。 这 是 一 个 危险 漏洞 ,因为 它 允 许 远 程 用 户 对 ICS 主机 和 功能 进 
行 未 经 授权 的 远程 访问 。 表 3-14 总 结 了 明文 认证 协议 安全 漏洞 特征 。 


表 3-14 明文 认证 协议 安全 特征 总 结 表 
标准 信息 系统 明文 认证 协议 的 使 用 


可 能 后 果 


导致 系统 遭受 身份 哄骗 攻击 


工业 控制 系统 影响 


对 工业 控制 系统 组 件 的 未 授权 访问 :远程 用 户 可 
以 任何 功能 权限 ,进而 可 以 远程 访问 主机 


工业 控制 系统 中 任何 运行 明文 身份 认证 协议 的 


脆弱 组 件 主机 
检测 的 难 易 程度 容易 
攻击 者 可 察觉 性 高 

修复 代价 低 
脆弱 广泛 存在 程度 高 


在 工业 控制 系统 中 存在 广泛 程度 


E 


ICS 应 用 证 书 传输 缺少 保护 的 漏洞 与 使 用 明文 验证 的 标准 IT 协议 ”类 似 ， 
均 由 于 证 书 传输 的 保护 缺失 造成 。 在 这 种 情况 下 ,如果 攻 击 者 能 够 捕捉 ICS 应 


AE 
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用 证 书 , 他 可 以 登录 到 ICS 应 用 ,并 获得 相关 的 ICS 功能 (可 能 包括 控制 物理 过 
程 ,改变 数据 ,或 重新 配置 集成 电路 设备 ) 。 这 一 漏洞 同样 十 分 严重 ,因为 它 允 许 
对 ICS 功能 、 人 机 界面 应 用 程序 (控制 功能 ) 的 未 经 授权 的 远程 访问 。 表 3-15 总 
结 了 应 用 中 未 经 保护 的 用 户 凭 证 传输 安全 漏洞 特征 。 
表 3-15 ICS 应 用 中 未 经 保护 的 用 户 凭证 传输 
工业 控制 系统 中 未 经 保护 的 用 户 凭证 传输 


可 能 后 果 


导致 系统 遭受 身份 哄骗 攻击 


工业 控制 系统 影响 


对 工业 控制 系统 应 用 的 未 授权 访问 :远程 用 户 可 以 任 
何 功 能 权限 ,进而 可 以 远程 访问 监控 控制 功能 


脆弱 组 件 工业 控制 系统 应 用 
检测 的 难 易 程 度 容易 
攻击 者 可 察觉 高 
修复 代价 中 
脆弱 广泛 存在 程度 高 
在 工业 控制 系统 中 存在 广泛 程度 | 常见 


ICS 网 络 协议 ,一 般 用 于 发 送 控制 命令 和 状态 数据 。 但 是 由 于 缺乏 足够 的 
访问 控制 和 完整 性 检查 机 制 , 这 些 协议 可 能 遭受 算 改 . 重 放 和 哄骗 攻击 。 这 一 漏 
洞 会 暴露 给 拥有 监控 网 络 ,或 者 设备 控制 网 络 访问 权限 的 任何 人 。ICS 网 络 协 
议 漏 洞 对 物理 系统 可 能 造成 的 后 果 与 远程 显示 协议 漏洞 和 网 络 人 机 交互 插件 漏 
洞 类 似 , 因 为 它 同 样 是 通过 监控 网 络 进行 攻击 。 

表 3-16 总 结 了 ICS 网 络 协议 安全 漏洞 特征 。 

表 3-16 ICS 网 络 协议 安全 特征 总 结 表 
工业 控制 系统 数据 和 命令 遭受 算 改 和 注入 


数据 泄露 、 自 改 或 丢失 


可 能 后 果 将 数据 或 功能 暴露 给 无 意 的 执行 者 ,这 将 可 能 给 攻击 
者 提供 一 些 敏感 信息 或 允许 其 执行 恶意 代码 
工业 控制 系统 影响 未 授权 访问 网 络 级 监控 控制 功能 
工业 控制 系统 通信 信道 ,以 及 不同 安全 区 域 之 问 可 能 
idend Wd AARIA 
AE 中 到 高 
攻击 者 可 察觉 性 à 
修复 代价 高 
在 工业 控制 系统 中 存在 广泛 程度 | 普遍 存 在 
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作为 ICS 的 一 部 分 ,历史 服务 器 通常 用 于 数据 归档 和 分 析 ,一 般 位 于 隔离 区 
或 公司 网 络 之 中 。 对 历史 服务 器 的 威胁 包括 侵入 主机 和 数据 破坏 。ICS 中 的 历 
史 服 务 器 通常 利用 常见 的 SQL 服务 器 作为 它 的 后 端 。 历 史 数据 往往 可 以 通过 
自 定 义 网 络 界面 或 应 用 程序 查看 。 历 史 数据 的 客户 端 应 用 程序 是 高 风险 组 件 ， 
因为 这 些 软件 常常 可 以 架设 在 企业 环境 中 ,可 以 为 攻击 者 提供 一 个 ICS 网 络 的 
突破 口 。 另 外 ,攻击 者 可 以 访问 未 经 授权 的 信息 ,在 某 些 情况 下 可 能 导致 经 济 损 
失 。 历 史 数据 库 应 用 程序 通常 使 用 SQL 查询 来 检索 信息 。 当 应 用 程序 对 用 户 
输入 的 过 滤 不 足 或 错误 时 , 便 会 产生 SQL 注入 漏洞 。 如 果 攻 击 者 将 转 义 字符 插 
入 数据 库 查询 ,他 们 便 可 能 获得 对 数据 库 任 意 读 取 或 写 入 的 权限 。 攻 击 者 也 可 
以 修改 SQL 查询 的 逻辑 安全 控制 (如 身份 验证 ) 绕 过 安全 验证 。 表 3-17 总 结 了 
ICS 中 SQL 注入 安全 漏洞 特征 。 

表 3-17 SQL 注入 特征 总 结 表 
SQL 注入 
数据 丢失 :攻击 者 对 数据 库 进行 未 授权 读 或 写 操 作 
可 能 后 果 绕 过 安全 防护 措施 :针对 数据 库 的 拒绝 服务 攻击 或 者 
对 相关 主机 实施 未 授权 访问 
历史 数据 泄露 ,丢失 或 自 改 是 攻击 者 攻击 工业 控制 系 


工业 控制 系统 影响 Mi sce 
脆弱 组 件 历史 或 其 他 数据 库 和 主机 ,给 予 数据 库 的 网 页 应 用 
检测 的 难 易 程度 容易 
攻击 者 可 察觉 性 ü 
攻击 者 攻击 频率 经 党 
修复 代价 低 
脆弱 广泛 存在 程度 高 


在 工业 控制 系统 中 存在 广泛 程度 | 常见 


@ 常见 ICS 漏洞 分 类 

如 图 3-37 所 示 ,与 通用 的 IT 系统 相 比 , 工 业 控制 系统 的 可 用 性 的 优先 级 最 
高 ,其 次 是 完整 性 ,最 后 是 机 密 性 。 常 见 的 SCADA 漏洞 可 以 根据 不 同 的 安全 目 
标 被 分 成 不 同类 别 。NSTB 脆弱 性 评估 过 程 的 第 一 步 是 确定 评估 目标 。 由 于 接 
入 点 、 过 程 协 议和 设备 一 旦 遭受 破坏 , 便 可 能 对 控制 系统 产生 严重 的 影响 ,所 以 
它们 被 选 定 为 评估 目标 。NSTB 团队 在 脆弱 性 评估 项 目 花 费 了 900 一 1000 小 时 
以 对 选 定 的 典型 ICS 中 的 评估 目标 进行 测量 评估 。 
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安全 目标 
信息 系统 工业 控制 系统 
机 密 性 可 用 性 
完整 性 完整 性 
可 用 性 机 密 性 


图 3-37 通用 的 IT 安全 目标 与 ICS 安全 目标 对 比 图 


由 于 选 定 的 工控 SCADA 系统 数量 有 限 ,对 常见 ICS 漏洞 的 分 类 只 能 反映 
出 真实 环境 下 的 大 致 情况 。 在 研究 过 程 中 ,研究 团队 将 SCADA 系统 分 为 过 程 
设备 、 过 程控 制 硬件 、 网 络 设 备 和 计算 机 部 分 ,并 将 SCADA 组 件 产品 分 为 软件 、 
硬件 .固件 和 支持 监控 和 数据 采集 的 网 络 设备 。 

研究 系统 漏洞 的 发 生 频 率 也 是 很 有 意义 的 。 这 项 研究 可 以 在 风险 识别 的 基 
础 上 判断 出 系统 更 容易 遭受 哪 一 类 安全 攻击 ,以 此 判断 系统 的 各 个 漏洞 的 权重 。 
例如 ,系统 可 能 遭受 50 次 缓冲 区 溢出 攻击 ,代表 50 个 攻击 向 量 ; 而 只 遭受 一 次 
身份 验证 攻击 ,但 在 风险 识别 当中 分 别 只 被 算 作 一 个 漏洞 ,因而 会 对 漏洞 的 危险 
等 级 进行 误 判 。 

此 外 ,本 项 目 还 对 各 项 漏洞 对 系统 的 影响 进行 了 评估 。 例 如 ,在 SCADA 系 
统 当 中 的 一 个 通信 信道 漏洞 可 能 会 影响 到 整个 系统 。 

在 漏洞 类 型 方面 ,NSTB 评估 团队 分 析 了 SCADA 漏洞 类 型 ,分析 了 各 种 漏 
洞 发 生 的 可 能 性 ,得 到 了 如 图 3-38 所 示 的 统计 结果 。 此 外 ,NSTB 评估 团队 还 
分 析 了 这 些 漏 洞 被 利用 后 ,攻击 者 是 否 可 以 访问 到 SCADA 系统 的 核心 功能 ,得 
到 了 表 3-18 可 以 访问 到 SCADA 系统 核心 功能 的 系统 脆弱 性 类 型 及 相应 的 攻 


V, 和 已 公开 的 漏洞 (7%6) 
加 SCADA 认 证 协议 漏洞 (7%) 


蛋 未 公开 的 漏洞 (8%) 

目 SCADA 主 机 授权 漏洞 (599) 

目 SCADA 网 络 接 入 控制 漏洞 (119g) 
目 信 道 的 漏洞 (16%) 

囊 通 信 端 点 的 漏洞 (4390) 


图 3-38 NSTB 评估 安全 脆弱 性 类 型 所 占 百 分 比 的 结果 (来 源 : 文献 [16] Figure 4) 


最 
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击 目标 所 示 的 结果 。 
表 3-18 可 以 访问 到 SCADA 系统 核心 功能 的 系统 脆弱 性 类 型 及 相应 的 攻击 目标 
脆弱 类 型 评估 目标 类 别 脆弱 性 来 源 
集成 到 SCADA 产品 中 的 未 经 修复 的 
或 老 版 本 的 第 三 方 应 用 
已 知 脆弱 性 最 优 可 能 实施 攻击 的 路 径 
在 SCADA 主机 上 运行 着 的 未 经 修复 
的 操作 系统 
WIEN 0-day MARKS 由 于 开启 了 不 必需 的 服务 ,导致 大 量 
公 -day WARE | 的 SCADA 主机 暴露 在 互联 网 上 
RATA | 修复 的 脆弱 性 问题 
不 恰当 的 SCADA 代码 
远程 访问 协议 存在 的 脆弱 性 来 源 于 哄 
通过 存在 脆弱 性 问题 的 通 骗 攻 击 或 中 间 人 攻击 
通信 信道 脆弱 性 信 信 道 来 对 SCADA 功能 
进行 未 授权 访问 SCADA 协议 脆弱 性 的 脆弱 性 来 源 于 
哄骗 攻击 或 中 间 人 攻击 
SCADA 通信 和 数据 传输 协议 的 脆弱 
对 SCADA 主机 或 应 用 的 性 服务 
通信 中 断 脆弱 性 未 授权 访问 攻击 或 拒绝 服 
务 攻 击 数据 库 脆 弱 性 
网 页 脆弱 性 
SCADA 应 用 认证 “| 通过 利用 认证 机 制 的 脆弱 | 认证 机 制 绕 过 
协议 的 脆弱 性 性 来 访问 SCADA 应 用 认证 凭证 管理 
SCADA 主机 一 个 SCADA 账号 所 带 来 ` 
授权 脆弱 性 的 破坏 能 力 对 主机 环境 的 安全 防护 失效 
不 恰当 的 网 络 设计 
38 sd k 径 0 
通过 可 用 的 网 络 路 径 来 对 | 不 严谨 的 防火 墙 过 滤 规 则 
SCADA 网 络 脆弱 性 | SCADA 主机 和 功能 进行 - zs " 
访问 对 于 网 络 设备 的 安全 防护 失效 
不 恰当 的 网 络 监控 


SCADA 系统 漏洞 可 能 允许 攻击 者 在 SCADA 组 件 产品 中 收集 信息 ,破坏 或 
操纵 SCADA 操作 。NSTB 评估 主要 集中 在 SCADA 组 件 产品 ,以 此 来 对 漏洞 
的 特征 进行 分 类 ,并 评估 它们 的 设计 和 操作 方式 .对 主机 的 影响 和 对 网 络 安全 的 


需求 。 


图 3-39 给 出 了 NSTB 评估 SCADA 组 件 的 结果 。 


如 图 3-40 所 示 ,NSTB 通过 SCADA 组 件 功能 对 研究 中 发 现 的 系统 漏洞 进 
行 了 评估 和 分 类 。 这 一 研究 集中 于 通过 系统 功能 受 损 这 一 结果 ,对 系统 漏洞 进 
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目 ICS 产 品 (71%) BICS3-f/L(1496) 如 ICS 网 络 (15%0) 
图 3-39 NSTB 测试 发 现 的 SCADA 组 件 类 别 百 分 比 结果 (来 源 : 文献 [16] Figure 5) 


4% 4% 3% 
= ICCP 服 务 和 协议 栈 (25%) 5% 
= 管理 控制 协议 服务 (17%) 
a1CS 主 机 (16%) 5% 
s 历 史 服 务 器 (8%) 
管理 控制 协议 (7%) 
控制 协议 服务 (6%) 
网 络 设备 (5%) 
防火 墙 规则 (5%) 
= Web 服务 (4%) 
人 机 接口 (4%) 
控制 协议 (3%) 


图 3-40 NSTB 测试 分 析 得 到 的 组 件 功能 百分比 结果 (来 源 : 文献 [16] Figure 6) 


行 分 类 ,并 对 在 NSTB 评估 中 发 现 的 存在 于 SCADA 服务 器 应 用 程序 及 服务 中 
发 生 频 率 较 高 的 漏洞 进行 分 类 说 明 。 

几乎 所 有 的 NSTB 评估 当中 ,监督 控制 协议 都 是 较为 重要 的 一 项 。 这 一 协 
议 在 SCADA 系统 中 一 般 用 于 SCADA 外 部 通信 ,由 于 其 广泛 的 可 用 性 , NSTB 
评估 将 其 放 在 一 个 较为 重要 的 位 置 。 内 部 控制 中 心 通信 协议 CInter-Control 
Center Protocol,ICCP) 被 选 定 为 深入 评估 的 协议 。 而 一 些 评估 系统 并 没有 将 
“基本 的 ”或 “本 地 的 ”控制 协议 ,如 分 布 式 网 络 协议 CDistributed Network 
Protocol Version 3,DNP3) ,纳入 评估 指标 。 

通过 使 用 图 3-41 所 示 的 ISA99 参考 模型 ,NSTB 对 出 现在 SCADA 各 架构 
层次 上 的 漏洞 进行 了 评估 和 分 类 。 这 个 模型 描述 了 SCADA 系统 的 一 系列 基于 
功能 的 逻辑 水 平 , 对 于 建立 漏洞 分 类 参照 系 有 很 大 作用 。NSTB 的 关注 重点 放 
在 了 核心 SCADA 功能 上 。 如 图 3-42 所 示 ,NSTB 的 研究 表明 ,最 有 可 能 出 现 漏 
洞 .遭受 攻击 的 SCADA 设施 为 监控 与 运营 管理 类 设施 。 

© SCADA 网 络 安全 风险 规避 

安全 活动 的 最 终 目的 是 为 了 降低 风险 。 商 业 风 险 具 有 威胁 .影响 /后 果 和 脑 
弱 性 的 属性 。 如 果 网 络 威胁 成 功利 用 了 脆弱 性 ,商业 风险 就 可 能 发 生 。 为 此 ， 
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Operations Management: 
System Management 
Supervisory Contorol 


Level CO O e Networ! 
Enterprise Systems: porate Netwo1 
Business Planning 
and Logistics/ 
Engineering Systems 
SCADA Web SCADA Business 

Application Client Application Clien 

Level 3 


bo 


Replicated Web Server 
Database 


Level 2 


Supervisory Contorol Equipment: 
Supervisory Contorol Functions/ 


Remote 
Vendor or 
Engineer 


ICCP Server 
OPC Server 
Information Server 
Application Server 


Control Equipment: 
Protection and 


Local Control Devices 


Site Monitoring and 
Local Display 
Supervisory a Rear ime ommunications 
Control Local Display coe Processor 
Level 1 


Distributed 
RIU Control 


PLC 


Level 0 


Equipment Under Control: 
Sensors and Actuators 


Temperature Pressure 
Sensor Sensor 


图 3-41 


ISA SCADA 架构 (来 源 :文献 [16] Figure 8) 


level 1 : 
level 2 : 
level 3 : 
level 4 : 
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局 部 或 基本 控制 (10%) 
监控 (45%) 
操作 管理 (40%) 
企业 系统 (5%) 


图 3-42 NSTB 测试 得 到 的 ICS 功能 级 别 结果 (来 源 : 文献 [16] Figure 7) 


CVSS 漏洞 分 析 师 提供 了 一 个 定性 分 析 工 具 , 以 便 供应 商 和 用 户 控制 系统 来 描 
述 他 们 的 网 络 安全 风险 。 并 为 SCADA 供应 商 和 业主 提供 降低 他 们 产品 的 


CVSS 评分 的 建议 及 例子 。 
经 过 表 3-19 和 表 3-20 的 分 析 测 量 ,NSTB 提供 了 一 系列 可 有 效 缓解 系统 脆 
弱 性 的 方式 : 
表 3-19 SCADA 制造 商 减 少 系 统 脆弱 性 的 措施 
CVSS 特征 可 以 降低 CVSS 评分 的 措施 
。 安全 开发 实践 
基准 。 对 所 有 用 户 和 服务 /应 用 实行 最 小 权限 
。 利用 通用 技术 来 测试 软件 的 脆弱 性 ,并 进行 修复 
。 迅速 测试 第 三 方 的 补丁 
。 在 产品 和 服务 生命 周期 内 提供 公开 的 漏洞 报告 
。 迅速 的 补丁 修复 
4 ats 2j 
NEN 。 产品 和 技术 支持 使 用 强 认证 和 加 密 机 制 
。 提供 适用 于 SCADA 组 件 和 制定 IDS 规则 的 详尽 的 产品 或 技 
术 文档 
表 3-20 SCADA 拥有 者 减少 系统 脆弱 性 的 措施 
CVSS 特征 可 以 降低 CVSS 评分 的 措施 
。 关注 用 户 和 制造 商 对 于 脆弱 性 漏洞 的 反馈 和 发 布 
。 迅速 的 补丁 修复 
。 识别 并 开展 解决 方案 来 修复 系统 脆弱 性 
暂时 修复 等 级 。 使 用 并 支持 强 认 证 和 加 密 机 制 


。 保 护 关键 功能 
。 常见 和 开展 特定 的 防火 墙 和 入 侵 检测 规则 
。 紧密 关注 关键 功能 和 安全 日 志 来 标定 正常 和 异常 行为 
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(1) 通过 去 除 所 有 不 需要 的 应 用 程序 和 有 效 的 补丁 管理 来 缓解 回 有 漏洞 。 

(2) 通过 身份 验证 凭据 保护 减轻 传输 通信 信道 的 漏洞 ,确保 本 地 和 远程 访 
问 控制 和 SCADA 系统 的 数据 完整 性 检查 。 

C3) 通过 安全 的 编码 实践 缓解 通信 端点 漏洞 ,加强 SCADA 和 ICCP 服务 严 
格 的 输入 数据 验证 ,数据 库 应 用 程序 和 Web 服务 。 

(4) 通过 在 服务 器 和 客户 端的 身份 验证 ,以 及 有 效 的 身份 验证 凭据 的 有 效 
管理 ,减少 身份 认证 方面 的 安全 漏洞 。 

(5) 通过 最 小 权限 的 访问 控制 功能 ,缓解 授权 漏洞 。 

(6) 通过 网 络 分 割 、 强 大 的 防火 墙 规 则 、 安 全 连接 的 安全 区 和 入 侵 检测 来 缓 
解 网络 接 入 漏洞 。 

(7) 保护 攻击 面 。 攻 击 面包 括 攻 击 系统 的 所 有 可 能 的 途径 。 一 个 系统 的 攻 
击 面包 含 一 组 方法 ,攻击 者 可 以 进入 系统 ,并 有 可 能 造成 损害 。 因 此 ,攻击 面 越 
小 ,系统 也 就 更 安全 。NSTB 提出 了 几 项 对 攻击 面 防 护 的 策略 ,包括 :设计 并 实 
现 安全 的 代码 ,用 安全 的 代码 替换 可 能 遭受 攻击 的 代码 ,验证 输入 数据 ,防止 组 
冲 区 溢出 ,防止 SQL 注入 ,防止 跨 站 点 脚本 ,防止 目录 遍历 ,最 小 化 端口 和 服务 ， 
确定 必要 的 端口 和 服务 。 

安全 的 编码 资源 可 用 于 所 有 应 用 程序 类 型 和 语言 。 为 此 , 表 3-21 列举 了 所 
有 最 常见 的 SCADA 编程 错误 。 

表 3-21 常见 SCADA 编程 错误 
脆弱 性 分 类 常见 脆弱 问题 
不 恰当 的 语法 结构 处 理 
不 恰当 的 数据 值 处 理 
不 恰当 的 丢失 数据 处 理 
数据 处 理 不 恰当 的 输入 验证 
不 恰当 的 编码 或 输出 溢出 


有 符号 到 无 符号 数据 转换 错误 


不 正确 的 字 节 顺序 
缓冲 区 复制 时 没有 检查 输入 大 小 


基于 数据 栈 的 缓冲 区 溢出 


基于 堆 的 缓冲 区 溢出 


缓冲 区 溢出 限制 边 误 
A nb DC dt 制 边界 错误 "TET 


不 恰当 的 数组 索引 验证 


不 正确 的 缓冲 区 大 小 计算 
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续 表 
脆弱 性 分 类 常见 脆弱 问题 


不 恰当 的 终止 条 件 


缓冲 区 溢出 限制 边界 错误 整数 溢出 


整数 溢出 到 缓冲 区 溢出 


可 信 变 量 或 数据 存储 的 外 部 初始 化 


初始 化 缺失 


使 用 未 经 初始 化 的 变量 


空 指针 


不 良 代 码 质 量 标志 
不 受 控制 的 资源 消耗 ( 死 循 环 ) 


未 经 验证 的 返回 值 


未 经 验证 的 返回 值 到 一 个 空 指针 


在 执行 完 后 ,未 采取 释放 内 存 操作 


不 恰当 的 路 径 名 限制 


网 页 问题 保存 网 页 结构 失败 


保存 SQL 查询 结构 失败 


句柄 丢失 


未 捕获 异常 情况 
异常 情况 处 理 失败 


不 恰当 的 异常 情况 处 理 


未 采取 行动 的 错误 异常 检测 


3.4 小 结 


美国 能 源 部 主要 关注 能 源 行业 ,负责 制定 能 源 领域 的 战略 规划 ,管理 能 源 行 
业 发 展 ,主导 研发 能 源 领 域 相关 技术 等 。 本 章 首先 介绍 了 美国 能 源 部 管辖 的 国 
家 实验 室 的 基本 情况 ,然后 介绍 了 美国 能 源 部 为 了 应 对 能 源 领 域 关 键 基础 设施 
网 络 安全 问题 制定 的 安全 防护 技术 路 线 报告 ,以 及 著名 的 国家 SCADA 测试 床 
项 目 情况 。 

通过 分 析 可 知 ,美国 能 源 部 在 能 源 领 域 不 仅 积累 了 雄厚 的 科研 基础 和 丰富 
的 实践 经 验 , 而 且 还 通过 统一 规划 和 管理 的 方式 搭建 了 国家 级 测试 床 ,以 此 来 整 
合 全 国 各 大 实验 室 的 科研 资源 ,帮助 相关 人 员 开 展 风险 和 脆弱 性 评估 工作 ,进而 
更 有 效 地 研发 下 一 代 控 制 系统 。 
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4.1 国家 标准 与 技术 研究 院 及 典型 项 目 简介 


隶属 于 美国 商务 部 的 美国 国家 标准 与 技术 研究 院 (National Institute of 
Standards and Technology. NIST) 8] & F 1901 年 ,是 美国 历史 最 悠久 的 物理 科 
学 实验 室 之 一 。NIST 的 主要 职责 就 是 在 智能 电网 、 电 子 健康 记录 ,先进 纳米 材 
料 , 计 算 机 芯片 ,技术 、 测 量 等 方面 制定 标准 规范 。 

在 工业 控制 系统 信息 安全 方面 ,NIST 于 2010 年 10 月 发 布 了 SP 800-82《 工 
业 控 制 系统 (ICS) 安 全 指南 六 , 它 是 依据 2002 年 (联邦 信息 安全 管理 法 》、2003 
年 国土 安全 总 统 令 ( 第 7 号 国土 安全 总 统 令 :关键 基础 设施 识别 .优先 级 排序 和 
保护 》(Homeland Security Presidential Directive 7: Critical Infrastructure 
Identification, Prioritization, and Protection) 等 文件 编制 而 成 。 在 国家 基础 设 
施 安全 防护 方面 ,NIST 于 2014 年 发 布 了 《改进 关键 基础 设施 网 络 安全 的 框架 》 
第 一 版 四 ,这 是 美国 政府 首次 对 国家 关键 基础 设施 提出 的 安全 标准 。 

此 外 ,在 具体 的 工控 领域 , NIST 主要 在 智能 制造 .智能 电网 、 智 慧 城市 、 信 
息 物 理 系统 及 公共 安全 通信 等 领域 以 及 工业 控制 系统 网 络 安全 性 能 测试 床 方面 
都 部 署 了 相应 的 项 目 , 开 展 了 一 系列 研究 工作 。 


1. 智能 制造 系统 的 网 络 安全 


智能 制造 系统 需要 防范 由 于 互联 互通 、 使 用 无 线 网 络 和 传感器 以 及 采用 常 
见 信 息 技 术 所 引入 的 潜在 安全 威胁 和 安全 漏洞 。 智 能 制造 系统 的 网 络 安全 项 
目 外 将 制定 出 一 个 包含 指导 方针 方法、 指标 和 工具 的 网 络 安 全 风险 管理 框架 。 
对 于 采用 了 网 络 安全 技术 的 智能 制造 系统 ,该 框架 可 以 帮助 制造 商 、 技 术 提 供 商 
和 解决 方案 供应 商 来 评估 系统 在 安全 性 能 和 可 靠 性 方面 是 否 达标 。 网 络 安全 风 
险 管理 框架 与 具体 的 方法 .指标 和 工具 可 有 效 地 促进 制造 商 采 用 安全 技术 ,以 此 
来 实现 一 个 安全 可靠、 可 持续 运行 的 弹性 智能 制造 系统 。 

由 于 早期 部 署 到 制造 系统 的 传统 IT 安全 措施 会 影响 制造 系统 的 实时 性 、 资 
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源 使 用 、 操 作 可 靠 性 和 效率 ,因此 ,智能 制造 业 系统 的 网 络 安全 或 须 新 的 技术 理 
念 来 提供 适用 于 制造 系统 的 解决 方案 。 该 项 目 分 成 评估 测试 开发 和 标准 化 三 
个 实施 阶段 。 

在 评估 阶段 ,NIST 将 举办 关于 网 络 安全 对 系统 影响 的 研讨 会 ,定量 地 确定 
网 络 安全 对 智能 制造 系统 的 实时 性 ,资源 使 用 .可 靠 性 和 安全 性 的 影响 。 

在 测试 开发 阶段 将 解决 两 个 研究 挑战 。 第 一 个 挑战 是 提炼 总 体 需求 ,并 归 
纳 复杂 智能 制造 系统 实际 的 、 可 互 操 作 的 网 络 安全 应 用 案例 。 第 二 个 挑战 是 , 针 
对 这 些 需 求 和 应 用 案例 ,开发 一 套 网 络 安全 技术 测试 集 。 该 项 目 将 开发 智能 制 
造 系统 网 络 安全 测试 平台 ,在 此 平台 上 执行 制定 的 测试 集 , 并 分 析 安 全 技术 对 系 
统 运行 性 能 的 影响 (如 延迟 、 拌 动 ); 和 业务 操作 的 影响 (如 效率 、 生 产 力 )。 基 于 
测试 结果 ,NIST 将 整体 出 详细 的 技术 分 析 报 告 。 

在 标准 化 阶段 , NIST 将 与 国际 自动 化 学 会 (International Society of 
Automation, ISA) 和 国际 电工 委员 会 (International Electrotechnical 
Commission,IEC) 等 标准 化 组 织 一 起 ,合作 制定 新 的 指导 方针 和 标准 。 这 些 新 
的 指导 方针 和 标准 ,将 在 不 对 智能 制造 系统 的 系统 性 能 产生 负面 影响 的 前 提 下 ， 
设计 实施 网 络 安全 防护 措施 。NIST 将 确保 新 标准 易于 进行 合 规 性 测试 。NIST 
将 与 ISA 的 安全 合 规 性 协会 (Security Compliance Institute,ISCI) 合 作 开发 用 
于 为 工业 自动 化 供应 商 和 运营 者 提供 资格 认证 和 测试 方法 的 网 站 。 通 过 与 
ISCI 合作 , NIST 希望 确保 本 项 目的 最 终 成 果 可 在 智能 制造 业 领 域 获得 广泛 推 
广 和 应 用 。 


2. 智能 电网 的 网 络 安全 


由 NIST 的 信息 技术 实验 室 (Information Technology Laboratory，ITL) 和 
计算 机 安全 部 门 联合 管理 的 智能 电网 互 操作 性 专家 咨询 小 组 (Smart Grid 
Interoperability Panel,SGIP) 网 络 安全 委员 会 (Cybersecurity Committee, CC), 
在 智能 电网 领域 ,于 2014 年 发 起 了 智能 电网 网 络 安全 项 目 外 。 该 项 目 不 仅 要 应 
对 敌手 的 鞋 意 攻 击 ,如 来 自 心 存 不 满 的 内 部 员工 、 工 业 间谍 和 恕 怖 分 子 的 攻击 ， 
也 需要 应 对 由 用 户 操作 失误 .设备 控制 失效 .自然 灾害 所 导致 的 信息 基础 设施 故 
障 。 具 体 地 ,该 项 目 主要 目标 是 制定 高 级 电表 架构 (Advanced Metering 
Infrastructure, AMI) 的 安全 要 求 、 云 计算 、 供 应 链 和 隐私 保护 等 相关 标准 。 该 项 
目 旨 在 为 智能 电网 提供 基础 网 络 安 全 指导 、 网 络 安全 审查 的 标准 和 要 求 , 进 而 为 
智能 电网 系统 互联 互通 和 跨 部 门 网 络 安全 协同 响应 提供 指导 建议 。 智 能 电网 网 
络 安全 项 目的 主要 目的 是 ,促进 智能 电网 网 络 安全 技术 标准 化 工作 ,具体 技术 包 
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括 隐私 保护 ZERUR .安全 响应 流程 和 应 急 恢 复 等 。 

当 电 网 系统 部 署 了 新 的 智能 电网 技术 后 ,电力 行业 面 对 着 新 的 网 络 安全 威 
胁 。 智 能 电网 互 操作 性 专家 咨询 小 组 网 络 安全 委员 会 通过 分 析 这 些 新 的 安全 需 
求 , 制 定 网 络 安全 政策 ,编制 智能 电网 网 络 安全 方面 的 有 关 指 导 文 件 。 本 项 目 通 
过 以 下 方式 来 开展 研究 : 

(1) SGCC 提供 网 络 安全 专业 知识 和 技术 指导 。 

(2) SGCC 审查 NIST #8 #81148 4 Interagency Report, IR)7628 第 一 版 所 
确定 的 安全 需求 和 智能 电网 互 操作 性 要 求 的 差距 ,对 下 一 步 工作 提供 建议 。 

(3) SGCC 领导 AMI 网 络 安全 研发 工作 。SGCC 与 SGIP .电力 科学 院 
(Electric Power Research Institute. EPRI)、 美 国 国家 标准 协会 (American 
National Standards Institute, ANSD) 等 一 起 合作 制定 ANSI C12. 19 工业 设施 工 
业 终 端 设备 数据 表 的 网 络 安 全 需求 。 此 外 ,SGCC 还 参与 了 巴西 国家 认可 机 构 
INMETRO ( The National Institute of Metrology, Standardization and 
Industrial Quality) ilz AMI 安全 需求 的 项 目 。 

(4) SGCC 将 NIST 制定 的 安全 内 容 自动 化 协议 (Security Content Automation 
Protocol, SCAP) 进 行 扩展 以 支持 智能 电网 系统 。SGCC 拟 研 究 并 扩展 美国 能 源 
部 和 电力 科学 院 联合 开展 的 Lemnos 项 目 , 旨 在 将 安全 内 容 自 动 化 协议 扩展 应 
用 到 智能 电网 系统 中 ,为 智能 电网 组 件 提 供 标准 的 、 可 测量 的 自动 监测 安全 分 析 
功能 ,提高 安全 分 析 的 精度 和 准确 度 , 降 低 安全 实践 的 成 本 ,提高 组 件 之 间 的 安 
全 互 操作 性 。 

(5) 建立 智能 电网 网 络 安全 测试 实验 室 。SGCC 建设 了 智能 电网 网 络 安全 
测试 实验 室 以 后 ,与 NIST 的 信息 技术 实验 室 (Information Technology 
Laboratory,ITL) 软 件 和 系统 部 门 一 起 研究 、 测 试 与 IEEE 1588 标准 中 关于 电网 
系统 时 间 同 步 问题 。 

(6) 进一步 细 化 并 完善 智能 电网 的 安全 架构 、 隐 私 保护 和 云 服务 等 问题 。 

(7) 培养 供应 链 安全 意识 。SGCC 与 能 源 部 、 联 邦 能 源 管 理 委员 会 (Federal 
Energy Regulatory Commission. FERC) .国土 安全 部 及 SGCC 会 员 单位 一 起 研 
究 制定 智能 电网 供应 链 安全 指导 方案 。 

本 项 目 主要 成 果 : 

COD. NIST 发 表 了 NIST IR 7823 高 级 电表 架构 智能 电表 可 升级 性 测试 框架 
(Advanced Metering Infrastructure Smart Meter Upgradeability Test Framework) 草 
案 。NIST IR 7823 草案 提出 了 符合 AMI 智能 电表 固件 升级 过 程 要 求 一 致 性 的 
测试 实例 。 
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(2) NIST 发 表 了 NIST IR 7628 智能 电网 网 络 安全 指导 (Guidelines for 
Smart Grid Cyber Security) 的 第 一 二 和 三 部 分 已 经 得 到 了 美国 基础 设施 制造 
商 和 管理 者 以 及 国际 同行 的 广泛 认可 。NIST 已 经 完成 了 NIST IR 的 第 一 
本 ,并 征求 了 厂商 和 相关 部 门 的 意见 


3. 智慧 城市 的 网 络 安全 


目前 ,不 同 国家 都 在 致力 于 利用 信息 物理 系统 (Cyber Physical idum 
CPS) 和 物 联网 技术 来 更 好 地 管理 城市 资源 ,改进 公共 安全 、 健 康 卫生 教育 
通 等 社会 服务 ,最终 实 现 智慧 城市 的 构想 喇 。 这 JEHEDIZ SENTIS 
息 物 理 系 统 和 物 联 网 的 安全 问题 是 否 能 够 得 到 妥善 解决 。NIST 在 实现 智慧 城 
市 的 过 程 中 ,需要 做 到 以 下 贡献 : 

CD. NIST 应 该 促进 发 展 不 同 组 织 、 部 门 之 间 的 合作 关系 ,以 此 来 证 实物 联 
网 和 信息 物理 系统 的 确 可 以 给 美国 带 来 有 立竿见影 的 社会 经 济 效 益 。 这 些 效益 
包括 提供 就 业 机 会 , 带 来 新 的 商机 ,提高 经 济 增长 速度 ,改善 人 民生 活水 平等 。 

(2) NIST 应 该 通过 其 在 信息 工程 .信息 和 通信 技术 .材料 科学 和 物理 等 方 
面 的 专业 知识 来 为 社会 提供 研究 基础 资源 。 

(3) NIST 需要 为 城市 管理 人 员 和 物 联网 技术 研发 人 员 制 定 一 个 安全 性 能 
标准 ,提供 测试 工具 及 相关 技术 指导 ,帮助 他 们 更 好 地 设计 和 实现 安全 有 效 的 智 
慧 城市 解决 方案 。 

因此 ,NIST 建立 了 智慧 城市 的 网 络 安全 项 目 , 本 项 目的 主要 目标 包括 : 

(1) NIST 为 智慧 城市 系统 的 设计 和 分 析 提 供 科 学 依据 。 

(2) NIST 协调 组 织 不 同 单位 一 起 制定 智慧 城市 系统 之 间 互 操作 性 标准 和 


指导 文件 。 
C3) 通过 推动 智慧 城市 测试 床 的 搭建 工作 来 为 实际 系统 的 设计 提供 指导 


(4) NIST 要 力争 成 为 智慧 城市 解决 方案 的 先锋 力量 。 

其 中 ,项 目的 目的 是 为 可 互 操作 、 可 复制 和 可 扩展 信息 物理 系统 提供 测试 的 
科学 依据 和 标准 。 进 而 使 得 这 些 系统 能 够 更 容易 和 高 效 地 部 署 到 城市 中 , 提高 
运行 效率 .系统 安全 性 .可 恢复 性 和 可 持续 性 ,提高 人 民 的 生活 质量 。 


4. 信息 物理 系统 的 参考 框架 


信息 物理 系统 (CCPS) 是 一 种 集成 了 物理 设备 .计算 设备 和 信息 交互 网 络 的 
新 型 智能 系统 。 信 息 物 理 系统 和 相关 的 系统 (如 物 联网 系统 .工业 互联 网 系统 
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等 ) 是 被 公认 为 有 巨大 发 展 和 创新 潜力 的 系统 ,这 些 系统 将 在 多 个 领域 影响 世界 
经 济 和 社会 的 发 展 。 典 型 的 应 用 领域 包括 能 源 基础 设施 .先进 制造 、 楼 宇 控制 、 
运输 、 医 疗 等 。 当 前 这 些 系统 的 设计 和 管理 方法 都 是 针对 特定 领域 设计 和 制定 
的 ,其 跨 领域 的 通用 性 差 。 在 不 同 领 域 应 用 时 ,这 势必 会 带 来 许多 额外 的 定制 化 
工作 。 此 外 ,目前 的 CPS 在 设计 .评价 和 验证 方面 缺乏 形式 化 分 析 方 法 。NIST 
CPS 的 参考 框架 项 目 中 通过 统一 通用 词汇 .分 析 方 法 和 参考 系统 架构 的 方法 来 
设计 CPS 框架 ,并 且 为 各 个 领域 的 共同 发 展 , 信 息 交 换 提供 了 应 用 实例 。 通 过 
提供 跨 领域 的 通用 技术 和 基础 理念 ,本 项 目 旨 在 使 CPS 的 设计 、 开 发 和 运行 更 
加 安全 、 可 靠 。 本 项 目 还 致力 于 通过 由 来 自 产 业界 、 学 术 界 和 政府 机 构 的 技术 专 
家 所 组 成 的 CPS 公开 工作 组 (Cyber-Physical Systems Public Working Group， 
CPS PWG) ,促进 公共 部 门 和 私营 部 门 利益 相关 者 之 间 的 合作 关系 。 本 项 目 制 
定 了 以 下 研究 计划 :基于 NIST 的 CPS PWG 的 成 功 开 展 和 运行 ,起 草 一 个 CPS 
参考 框架 ;评估 CPS 参考 框架 中 的 分 析 方 法 在 不 同 应 用 领域 的 技术 适用 情况 ， 
调整 修改 在 特定 应 用 领域 特定 的 词汇 、 分 析 和 设计 方法 ;通过 分 析 利 益 相 关 者 的 
反馈 意见 ,不 断 细 化 、 完 善 草案 中 的 CPS 参考 框架 ;在 国内 和 国际 上 ,引进 和 对 
接 与 CPS 参考 框架 相关 的 标准 和 技术 。 


4.2 提高 关键 基础 设施 网 络 安全 的 框架 规范 


在 第 21 号 总 统 令 4 提 高 关键 基础 设施 的 安全 性 和 恢复 力 》 的 指导 要 求 下 ， 
3000 多 个 信息 安全 专家 在 全 国 举办 了 一 系列 工业 安全 研讨 会 ,共同 讨论 了 10 
个 月 后 ,NIST 起 草 了 《提高 关键 基础 设施 网 络 安全 的 框架 规范 》( 简 称 规范 5 
的 第 一 个 版 本 。2014 年 2 月 12 号 ,美国 白宫 公布 了 这 一 规范 。 该 规范 不 仅仅 
是 信息 安全 新 形势 下 ,美国 政府 首次 提出 的 国家 级 信息 安全 指导 规范 ,而 且 还 是 
自 2013 年 美国 启动 了 保护 关键 基础 设施 信息 安全 战略 以 来 的 第 一 个 较 全 面 的 
基础 性 指导 文件 。 规 范 中 制定 的 提高 关键 基础 设施 网 络 安全 的 框架 是 一 个 基于 
风险 评估 方法 来 管理 网 络 安全 风险 的 安全 框架 ,包括 框架 核心 .框架 实现 层级 和 
框架 配置 文件 ,该 框架 可 以 帮助 相关 组 织 机 构 来 识别 安全 风险 、 实 施 和 改进 网 络 
安全 实践 。 在 该 框架 下 ,所 涉及 安全 风险 评估 、 处 理 及 相关 信息 安全 技术 都 要 经 
历 不 断 完 善 和 更 新 。 此 外 ,制定 者 也 会 根据 工业 界 的 反馈 来 周期 性 地 对 框架 进 
行 修订 。 该 框架 提供 了 一 种 评定 机 制 , 该 机 制 使 得 组 织 机 构 可 以 确定 他 们 当前 
的 网 络 安全 能 力 , 设 定 各 自 的 安全 目标 ,建立 一 个 改进 和 完善 网 络 安全 防护 系统 
的 计划 。 该 框架 包括 框架 核心 .框架 实现 等 级 和 框架 配置 文件 。 
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4.2.1 规范 简介 


为 了 应 对 关键 基础 设施 所 面临 的 信息 安全 风险 ,规范 为 风险 管理 者 建立 了 
基于 风险 评估 的 信息 与 决策 流程 模型 。 该 模型 从 决策 层 、 业 务 流程 处 理 层 和 实 
现 操作 层 三 个 层面 上 来 协作 处 理 安全 风险 事件 。 如 图 4-1 所 示 , 从 安全 事件 生 
命 周 期 的 角度 出 发 ,规范 设计 的 信息 安全 防护 体系 框架 包括 识别 (identify), 保 
护 (protect) ,检测 (detect) ,响应 (respond) 和 恢复 (recover) 五 个 方面 。 此 外 , 规 
范 还 提供 了 一 种 网 络 安全 水 平 评定 机 制 ,该 机 制 有 助 于 工控 组 织 机 构 确 定 其 当 
前 的 网 络 安全 能 力 , 设 定 各 自 的 安全 目标 ,建立 一 个 改进 和 完善 网 络 安全 防护 系 
统 的 计划 。 在 该 规范 指导 下 ,所 涉及 的 安全 风险 评估 、 处 理 及 相关 信息 安全 技术 
都 要 经 历 不 断 完善 和 更 新 。 制 定 者 也 会 根据 工业 界 的 反馈 来 周期 性 地 对 框架 进 

Function Category 


Unique Function Unique Category 
Identifier Identifier 


ID.AM Asset Management 


ID.BE Business Environment 
Identify ID.GV | Governance 

ID.RA Risk Assessment 

ID.RM Risk Management Strategy 
PR.AC Access Control 


PR.AT Awareness and Training 
PR.DS Data Security 


Protect 
PR.IP Information Protection Processes and Procedures 
PR.MA Maintenance 
PR.PT Protective Technology 
DE.AE Anomalies and Events 
Detect DE.CM  |Security Continuous Monitoring 


DE.DP Detection Processes 


RS.RP Response Planning 


RS.CO Communications 
Respond RS.AN Analysis 
RS.MI Mitigation 


RS.IM Improvements 


RC.RP Recovery Planning 
Recover RC.IM Improvements 


RC.CO Communications 


图 4-1 信息 安全 防护 体系 框架 (来 源 : 文献 [2] Table D 
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行 修订 完善 。 

在 图 4-1 所 示 的 框架 中 的 五 个 方面 的 具体 含义 如 下 。 

(1) 识别 : 对 组 织 有 重要 业务 关联 的 数据 、 人 员 ,设备 、 系 统 和 设施 的 识别 和 
管理 ,使 其 对 于 业务 目标 的 相对 重要 性 与 组 织 风险 策略 一 致 。 

(2) 保护 : 制定 和 实施 相关 防护 措施 ,确保 关键 基础 设施 运行 安全 。 

(3) 检测 : 制定 和 实施 相关 措施 ,识别 网 络 安全 事件 的 发 生 。 

(4) 响应 : 制定 和 实施 相关 措施 ,对 检测 到 的 网 络 安全 事件 采取 响应 行动 。 

(5) 恢复 : 制定 和 实施 相关 措施 ,保证 网 络 安全 事件 发 生 后 ,关键 基础 设施 
具有 一 定 的 恢复 能 力 。 
4.2.2 框架 核心 

如 图 4-2 和 图 4-3 所 示 ,框架 核心 是 一 个 包括 描述 网 络 安全 活动 .安全 预期 
产 出 和 适用 于 关键 基础 设施 领域 不 同行 业 的 安全 防护 参考 文献 的 集合 。 该 框架 
核心 为 不 同 组 织 从 决策 层 到 实现 操作 层面 的 人 员 提 供 了 可 参考 的 工业 标准 、 指 
导 规 范 和 安全 实践 等 内 容 。 具 体 地 ,该 框架 核心 包含 了 关键 基础 设施 安全 风险 
评估 与 处 理 的 五 个 环节 , 即 识别 .保护 ,检测 、 响 应 和 恢复 。 它 不 仅 完整 地 描述 了 
安全 风险 的 全 生命 周期 ,而 且 还 针对 每 个 环节 细 分 后 的 子 环节 一 一 给 出 了 对 应 
的 可 参考 文献 (标准 ,指导 规范 或 安全 实践 ) 。 


Funcitions Categories | Subcategories Informative References 


IDENTIFY 


PROTECT 


RESPOND 


RECOVER 


图 4-2 框架 核心 (来 源 : 文献 [2] Figure D 


(1) 框架 核心 包括 识别 、 保 护 、 检 测 、 响 应 和 恢复 五 个 重要 安全 “功能 ”。 这 
五 个 功能 是 对 网 络 安全 提出 的 总 体 目标 。 
(2)“ 类 ”是 根据 不 同 的 安全 需求 ,对 框架 核心 中 的 五 个 “功能 ”进行 细 分 后 
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提高 关键 基础 设施 框架 核心 
识别 保护 检测 响应 恢复 
A A. A. A A 
f E 1f 3f 1 f(y 
资 业 治 风 风 访 宣 数 信 维 防 异 持 检 响 沟 分 消 改 恢 改 沟 
产 务 理 险 险 间 传 握 息 护 护 常 续 测 应 通 析 减 进 复 进 通 
KH 评 管 控 和 安保 技 事 安 过 计 计 
境 境 估 理 制 培 全 护 术 件 全 程 划 划 
战 训 ” 规 检 
K 程 测 
图 4-3 框架 核心 及 其 包含 的 类 
的 网 络 安全 要 素 。 


(3)“ 子 类 ”是 根据 技术 或 管理 活动 ,对 “类 ”的 进一步 细 化 。 图 4-4 一 图 4-8 
分 别 给 出 了 每 一 类 所 包含 的 子 类 。 
- 组 织 内 的 物理 设备 和 系统 清单 
组 织 内 的 软件 平台 和 应 用 清音 
组 织 内 的 通信 和 数据 流 拓扑 图 
外 部 信息 系统 分 类 
根据 敏感 度 重要 性 和 业务 价值 对 资源 进行 优先 级 排序 
明确 全 体 职工 和 第 三 方 利益 相关 者 的 网 络 安全 角色 和 职责 
_ 确认 和 沟通 组 织 在 供应 链 中 的 作用 
确认 和 沟通 组 织 在 关键 基础 设施 及 其 产业 领域 中 的 定位 
业务 环境 4 确认 和 沟通 组 织 使 命 、 目 标 和 活动 的 优先 级 
明确 关键 服务 的 附属 和 关键 功能 
明确 关键 服务 恢复 能 力 的 相关 要 求 
- 建立 组 织 信息 安全 策略 
Wl < qug 协调 内 部 员工 和 外 部 合作 伙伴 之 间 的 信息 安全 角色 和 职责 
制定 网 络 安全 法 律 、 法 规 

应 对 网 络 安全 风险 的 治理 和 风险 管理 流程 
识别 和 记录 资产 漏洞 

从 信息 安全 共享 论坛 接受 威胁 和 漏洞 信息 
| 识别 和 记录 外 部 威胁 
风险 评估 识别 潜在 业务 影响 

通过 威胁 、 漏 洞 和 影响 来 明确 风险 
V 风险 响应 识别 和 排序 
\、 风险 管理 建立 风险 管理 流程 

战略 明确 和 清晰 描述 组 织 风险 承受 力 


图 4-4 识别 功能 及 其 包含 的 类 和 子 类 


TRR 4 


f 


a 


" 


/一 访 问 控制 < 


数据 安全 < 


信息 保护 7 
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c 管理 授权 用 户 和 设备 的 身份 和 凭证 
管理 和 保护 对 资产 的 物理 访问 
远程 访问 管理 

访问 权限 管理 

~ 网 络 完整 性 保护 


对 所 有 用 户 进行 宣传 和 培训 

让 特权 用 户 了 解 角色 和 职责 

让 第 三 方 利益 相关 者 了 解 角色 和 职责 

组 织 高 级 管理 人 员 了 解 角色 和 职责 

组 织物 理 和 信息 系统 安全 人 员 了 解 角 色 和 职责 


静态 数据 保护 

数据 传输 保护 

对 资产 转移 、 运 输 和 处 置 进行 全 方位 管理 

提供 确保 数据 可 用 的 足够 容量 

用 于 确认 软件 、 固 件 和 信息 完整 性 的 完整 性 检测 方法 
将 制造 开发 和 测试 环境 与 生产 环境 分 离 


建立 和 维护 信息 技术 / 工业 控制 系统 结构 基线 

周期 性 备份 、 维 护 和 测试 

制定 满足 组 织 资产 的 物理 操作 环境 政策 和 规定 

持续 更 新 保护 程序 

与 相关 方 共享 有 效 保护 技术 

制定 响应 〈 事 件 响 应 和 业务 持续 ) 和 恢复 (事件 恢复 和 灾难 恢复 ) 计划 
测试 响应 和 恢复 计划 

将 网 络 安全 纳入 人 力 资源 管理 中 


ET 


r 


^ 


" 


* 


维护 o 


cr 


制定 和 实施 漏洞 管理 计划 

定期 维护 组 织 资产 

远程 维护 组 织 资产 时 需 审批 和 记录 
审计 /日 志 
保护 移动 介质 并 规范 其 使 用 
按 最 小 功能 原则 对 系统 和 资产 的 访问 进行 控制 
对 通信 和 控制 网 络 进行 保护 

图 4-5 保护 功能 及 其 包含 的 类 和 子 类 
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c 建立 和 管理 针对 用 户 和 系统 的 网 络 操作 和 预期 数据 流 基线 
分 析 检 测 到 的 安全 事件 ， 理 解 攻击 目标 和 手段 
/一 -异常 事件 < ” 归 集 和 关联 来 自 多 种 源 和 传感器 的 安全 事件 数据 
判定 事件 影响 
\ 设 定 事件 预警 闪 值 
广 对 网 络 进行 监视 ， 检 测 潜在 的 网 络 安全 事件 
对 物理 环境 进行 监视 ， 检 测 潜在 的 网 络 安全 事件 
对 人 员 活 动 进行 监视 ， 监 测 潜在 的 网 络 安全 事件 
m< 持续 安全 」 检测 恶意 代码 
检测 检测 未 授权 移动 代码 
对 外 部 服务 进行 监视 ， 检 测 潜在 网 络 安 全 事件 
监视 未 授权 人 人员、 链接、 设备 以 及 软件 
~ 实施 漏洞 扫描 
定义 检测 角色 和 责任 
确保 检测 活动 遵循 相关 要 求 
检测 过 各 < 测试 检测 过 程 
将 事件 检测 信息 告知 相关 方 
> 检测 过 程 可 持续 性 更 新 
图 4-6 检测 功能 及 其 包含 的 类 和 子 类 


pa 响应 计划 C. 事后 或 事 中 执行 响应 计划 


一 当 需 要 响应 时 相关 人 员 必 须知 道 他 们 的 角色 和 操作 顺序 
按照 已 建立 的 准则 进行 事件 报告 
沟通 < 根据 响应 计划 进行 信息 共享 
协调 利益 相关 方 
、 与 外 部 利益 相关 者 自愿 进行 信息 共享 
- 对 检测 结果 进行 调查 
响应 -< J Tamem 
分 析 人 实施 取证 
\ 对 事件 进行 分 类 
EU 
消减 < 缓解 事件 
、 修 复 新 发 现 的 漏洞 或 者 将 其 作为 可 接受 的 风险 进行 记录 


Nc Ae 将 经 验 教 训 加 入 响应 计划 
L 更 新 响应 策略 


4-7 响应 功能 及 其 包含 的 类 和 子 类 
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恢复 计划 C. 事后 或 事 中 执行 恢复 计划 
pen " 
改进 gE eee 


恢复 更 新 恢复 战略 


管理 公共 关系 
沟通 { 事件 发 生 后 的 声誉 修复 
与 内 部 利益 相关 者 和 行政 管理 团队 沟通 恢复 行动 的 情况 
图 4-8 恢复 功能 及 其 包含 的 类 和 子 类 


(4)“ 参 考 性 文献 ”包括 一 系列 与 “ 子 类 ”提出 的 安全 要 求 相对 应 的 ,适用 于 
关键 基础 设施 的 已 有 安全 标准 .指南 和 实践 。“ 功 能 “类 ”“ 子 类 ” 均 只 给 出 了 逐 
步 细 化 的 安全 目标 ,但 并 没有 对 如 何 实现 安全 目标 提出 具体 要 求 。 这 些 具体 要 
求 则 在 “参考 性 文献 ”所 列 出 的 标准 ,指南 和 实践 的 具体 条 款 中 体现 。 也 就 是 说 ， 
框架 没有 提出 任何 新 的 安全 要 求 , 只 是 明确 了 若干 安全 目标 ,并 将 安全 目标 的 实 
现 措施 指向 了 已 有 标准 、 指 南 和 实践 的 具体 条 款 。 之 所 以 称 之 为 “参考 性 文献 ”， 
旨 在 说 明 这 些 引 用 的 标准 、 指 南 和 实践 并 不 是 强制 性 的 , 且 可 供 参 考 的 标准 、 指 
南 和 时 间 也 并 不 仅 限于 此 。 框 架 中 列 出 的 “参考 性 文献 "主要 有 : 

(1) 信息 和 相关 技术 控制 目标 (Control Objectives for Information and 
Related Technology, COBIT). 

(2) 网 络 安全 理事 会 (Council on CyberSecurity, CCS) fij 20 位 关键 安全 
控制 。 

(3) ANSI/ISA-62443-2-1-2009《 工 业 自动 化 和 控制 系统 安全 : 建立 工业 自 
动 化 和 控制 系统 安全 计划 》。 

(4) ANSI/ISA-62443-3-3-2013《 工 业 自 动 化 和 控制 系统 安全 : 系统 安全 要 
求 和 安全 等 级 》。 

(5) ISO/IEC 27001《 信 息 技 术 ”安全 技术 信息 安全 管理 体系 要 求 》。 

(6) NIST SP 800-53 Rev. 4 联邦 信息 系统 和 组 织 的 安全 和 隐私 控制 》。 


4.2.3 框架 实现 层级 


框架 实现 层级 为 不 同 单位 分 析 网 络 安全 风险 ,以 及 如 何 结合 自己 的 实际 情 
况 来 实现 框架 提供 了 具体 的 规定 说 明 。 根 据 单位 本 身 对 于 安全 风险 的 认 知 和 应 
对 水 平 (是 否 制 定 了 风险 管理 方法 和 综合 风险 管理 计划 ,是 否 参与 外 部 单位 的 安 
全 风险 评估 活动 ) ,总共 的 框架 实现 层级 包括 4 个 层次 , 即 部 分 实现 、 风 险 告 
可 重复 、 自 适应 。 当 组 织 者 制定 自己 的 框架 实现 层级 时 ,应 考虑 其 当前 所 处 的 安 
全 风险 环境 、 风 险 管理 实际 状况 、 信 息 安 全 防护 目标 、 法 律 法 规 要 求 及 相关 的 约 
束 条 件 等 。 
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l. 框架 实现 层级 之 “部 分 实现 ” 


COD) 风险 管理 方法 。 风 险 管理 以 临时 和 反应 式 的 方式 进行 。 网 络 安全 应 对 
措施 的 优先 顺序 不 以 单位 的 风险 目标 或 业务 需求 为 导向 。 

(2) 综合 风险 管理 计划 。 单 位 对 网 络 安全 风险 知之 甚 少 , 且 未 建立 内 部 网 
络 安全 风险 管理 措施 。 网 络 安全 风险 管理 工作 没有 正式 规程 ,或 仅 从 外 部 获得 
安全 事件 信息 。 单 位 内 部 未 制定 网 络 安全 信息 共享 流程 。 

(3) 参与 外 部 单位 的 安全 风险 评估 活动 。 单 位 没有 参加 其 他 单位 的 安全 风 
险 评估 活动 ,没有 形成 与 其 他 单位 协调 或 合作 的 机 制 。 


2. 框架 实现 层级 之 “风险 告知 ” 


(1) 风险 管理 方法 。 单 位 制定 的 网 络 风险 管理 具体 实践 方法 已 经 通过 了 单 
位 管理 部 门 的 批准 ,但 没有 制定 单位 内 部 的 风险 管理 通用 策略 。 网 络 安全 应 对 
措施 的 优先 顺序 是 以 单位 的 风险 目标 或 业务 需求 为 导向 的 。 

(2) 综合 风险 管理 计划 。 单 位 已 经 意识 到 了 网 络 安全 风险 问题 ,但 未 形成 
内 部 网 络 风险 管理 措施 。 单 位 已 经 制定 并 批准 实施 了 综合 风险 管理 计划 ,单位 
员工 拥有 充足 的 网 络 资源 来 履行 网 络 安全 职责 。 单 位 制定 了 网 络 安全 信息 共享 
流程 ,员工 可 在 单位 内 部 开展 日 常安 全 信息 交流 与 共享 工作 。 

(3) 参与 外 部 单位 的 安全 风险 评估 活动 。 单 位 已 经 认识 到 了 与 其 他 单位 开 
展 安全 风险 协同 评估 活动 的 重要 性 ,并 明确 了 自己 在 协同 工作 中 所 扮演 的 角色 ， 
但 是 仍 无 法 有 效 履 行 其 职责 。 


3. 框架 实现 层级 之 “可 重复 ” 


(1) 风险 管理 方法 。 单 位 制定 的 网 络 风险 管理 具体 实践 方法 已 经 被 正式 公 
布 了 ,并 且 进 一 步 制定 了 单位 内 部 的 风险 管理 通用 策略 。 单 位 实施 的 网 络 安全 
实践 要 基于 具体 应 用 的 业务 需求 、 安 全 威胁 和 技术 发 展 趋势 等 因素 来 定期 进行 

(2) 综合 风险 管理 计划 。 单 位 制定 了 网 络 风险 管理 措施 ,明确 了 风险 告 
政策 和 流程 。 这 些 政策 和 流程 在 实施 之 后 ,经 受 实际 安全 事件 的 检验 ,评审 其 正 
确 性 和 有 效 性 。 此 外 ,单位 已 经 制定 了 一 套 能 够 有 效应 对 不 断 变 化 的 安全 风险 
的 通用 方法 。 单 位 员工 已 经 掌握 了 相关 网 络 安全 专业 知识 和 技能 ,可 以 胜任 他 
们 的 安全 角色 和 职责 。 

(3) 参与 外 部 单位 的 安全 风险 评估 活动 。 单 位 已 经 清晰 地 理解 自己 在 与 其 
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他 单位 开展 安全 风险 协同 评估 活动 中 所 扮演 的 角色 和 职责 。 而 且 单位 也 清楚 地 
认识 了 在 单位 内 部 开展 安全 风险 评估 过 程 中 ,对 其 他 单位 的 安全 风险 评估 信息 
的 依赖 性 。 


4. 框架 实现 层级 之 “ 自 适应 ” 


(1) 风险 管理 方法 。 基 于 对 历史 经 验 教训 的 总 结 和 未 来 网 络 安全 威胁 发 展 
趋势 的 预测 ,单位 能 够 及 时 调整 其 网 络 安全 管理 方法 。 并 且 ,通过 不 断 融 入 先进 
的 网 络 安 全 技术 和 实践 ,单位 可 以 不 断 地 主动 调整 其 网 络 安全 防护 措施 ,以 此 来 
及 时 应 对 错综复杂 的 网 络 安全 威胁 。 

(2) 综合 风险 管理 计划 。 单 位 制定 了 网 络 风险 管理 措施 ,明确 了 风险 告 
政策 和 流程 。 单 位 可 以 利用 这 些 管理 措施 、 风 险 告 知 政策 和 流程 ,有 效应 对 潜在 
的 网 络 安全 事件 。 网 络 风险 管理 已 经 成 为 企业 文化 的 一 部 分 。 并 且 ,单位 还 会 
通过 分 析 之 前 的 安全 事件 ,与 其 他 单位 共享 安全 事件 分 析 结 果 , 不 断 监测 单位 的 
网 络 系统 安全 态势 等 手段 来 不 断 改 进 综合 风险 管理 计划 。 

(3) 参与 外 部 单位 的 安全 风险 评估 活动 。 单 位 与 合作 伙伴 单位 一 起 积极 主 
动 地 开展 安全 事件 信息 共享 合作 ,确保 在 网 络 安全 事件 发 生前 ,及 时 、 准 确 地 传 
递 安全 威胁 信息 。 


4.2.4 框架 配置 文件 


框架 配置 文件 代表 了 一 个 单位 在 基于 信息 安全 需求 所 选 定 的 框架 实现 层级 
和 “功能 ” “类”“ 子 类 ”以 及 “参考 性 文献 ”的 具体 内 容 。 在 一 个 实际 的 框架 实现 
过 程 中 ,框架 配置 文件 可 以 被 看 做 是 一 种 针对 信息 安全 防护 标准 、 指 导 意 见 和 安 
全 实践 等 文件 的 对 标 文件 。 单 位 要 制定 一 个 框架 配置 文件 ,那么 它 可 以 先 查 看 
框架 核心 中 的 所 有 类 别 和 子 类 别 ,基于 自己 所 需要 的 信息 安全 需求 ,对 安全 防护 
措施 进行 优先 级 排序 ,或 按照 自己 的 需求 来 进行 定制 选择 。 此 外 ,框架 配置 文件 
也 可 以 被 单位 用 来 作为 进行 自我 评估 或 者 与 其 他 单位 进行 信息 沟通 的 工具 。 

图 4-9 描述 了 在 组 织 内 部 的 主管 (Executive) 人 人员、 业务 流程 (Business/ 
Process) 人 员 、 实 施 操 作 (Implementation/Operations) 人 员 之 间 所 采用 的 通用 风 
险 管理 信息 与 决策 流程 模型 。 主 管 人 员 给 业务 流程 人 员 设 定 任务 优先 级 、 可 用 
资源 以 及 对 风险 的 承受 能 力 ,业务 流程 人 员 根 据 这 些 信息 和 风险 管理 方法 ,与 实 
施 操作 人 员 沟 通 安全 需求 和 业务 需求 并 创建 配置 文件 。 实 施 操作 人 员 跟 业务 流 
程 人 员 沟 通 配 置 文件 的 具体 实施 结果 信息 。 业 务 流程 人 员 根 据 这 些 信 息 进 行 安 
全 评估 ,并 将 其 评估 结果 反馈 给 主管 人 员 。 
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图 4-9 风险 管理 的 信息 与 决策 流程 模型 (来 源 : 文献 [2] Figure 2) 


4.2.5 框架 使 用 方法 


单位 可 以 将 提高 关键 基础 设施 网 络 安全 的 框架 作为 识别 .评估 和 管理 网 络 
安全 风险 的 核心 体系 。 本 框架 并 不 是 用 来 取代 单位 现 有 的 网 络 安全 风险 管理 方 
法 的 ,而 是 在 现 有 方法 基础 上 来 分 析 不 足 和 差距 ,以 此 来 制定 发 展 和 改进 的 技术 
路 线 。 至 于 本 框架 的 使 用 方法 ,具体 包括 以 下 几 点 。 


l. 对 本 单位 的 网 络 安全 进行 基本 的 安全 审查 


在 本 规范 建立 的 框架 中 ,框架 核心 可 以 被 单位 用 作 开 展 自我 安全 审查 工作 
的 依据 。 单 位 通过 建立 一 个 当前 的 框架 配置 文件 ,就 可 以 针对 框架 核心 五 个 “ 功 
能 ”识别 ,保护 ,检测 、 响 应 和 恢复 ) 中 的 “类 ”和 “ 子 类 ”进行 自 检 ,梳理 本 单位 的 
安全 现状 。 如 果 单 位 发 现 目 前 的 安全 风险 管理 方法 已 经 能 够 达到 预定 的 安全 目 
标 ,那么 就 可 以 利用 现 有 方法 来 管理 已 知 的 安全 风险 。 反 之 ,单位 可 以 通过 自我 
安全 审查 发 现 不 足 , 以 此 来 制定 一 个 安全 改进 计划 。 但 是 ,如 果 单 位 发 现 目 前 在 
某 个 “功能 ”( 或 “类 ”“ 子 类 ”) 的 安全 风险 投入 已 经 远 远 超出 安全 目标 产 出 的 话 ， 
那么 单位 就 可 以 将 这 部 分 的 资源 分 配给 其 他 的 方面 。 
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2. 建立 或 改进 一 个 网 络 安全 项 目 


单位 可 以 参考 以 下 7 个 步骤 来 建立 或 改进 一 个 网 络 安全 项 目 。 单 位 应 该 不 
断 执行 这 些 步骤 ,进而 持续 地 提升 自身 网 络 安全 等 级 。 

步骤 1: 单位 设 定安 全 范畴 并 制定 安全 需求 的 优先 级 。 

单位 可 以 根据 对 应 的 网 络 安全 实践 来 制定 战略 决策 ,决定 企业 系统 和 资产 
的 保护 范畴 。 框 架 可 以 在 经 过 调整 之 后 ,在 单位 内 部 用 来 支持 不 同 的 企业 业务 
种 类 和 流程 。 这 些 业务 种 类 和 流程 可 能 会 有 不 同 的 安全 需求 和 相应 的 安全 风险 
容忍 能 力 。 

步骤 2: 单位 确定 提升 安全 等 级 方向 。 

一 旦 网 络 安全 项 目的 安全 范畴 确定 了 之 后 ,单位 就 可 以 清点 其 内 部 系统 和 
资产 ,明确 安全 要 求 。 单 位 接 下 来 就 可 以 识别 系统 和 资产 的 脆弱 性 和 安全 威胁 。 

步骤 3: 单位 创建 一 个 目前 的 框架 配置 文件 。 

单位 建立 一 个 能 够 包含 “功能 “类 ”和 *“ 子 类 ”的 框架 配置 文件 ,以 此 来 表征 
其 目前 的 安全 等 级 。 

步骤 4: 单位 开展 安全 风险 评估 工作 。 

单位 可 以 根据 其 安全 风险 管理 方法 和 之 前 的 安全 风险 评估 工作 情况 来 开展 
目前 的 安全 风险 评估 工作 。 单 位 通过 分 析 系 统 运 行 环境 ,来 识别 未 来 网 络 安全 
事件 发 生 的 概率 ,并 预测 其 安全 危害 。 此 外 ,单位 还 应 该 考虑 新 兴 的 网 络 安全 风 
险 ,威胁 和 脆弱 性 对 自身 系统 的 潜在 安全 影响 。 

步骤 5: 单位 建立 一 个 目标 框架 配置 文件 。 

单位 根据 预期 达到 的 安全 目标 来 建立 一 个 目标 框架 配置 文件 。 该 配置 文件 
用 来 描述 单位 在 “功能 “类 ”和 “ 子 类 ”等 方面 要 达到 的 安全 目标 。 单 位 也 可 以 
根据 自己 的 实际 情况 量 身 定制 符合 自身 需求 的 额外 的 “功能 “类 ”或 “ 子 类 ”。 
此 外 ,单位 在 制定 目标 框架 配置 文件 的 时 候 , 还 需要 考虑 客户 、 商 业 合作 伙伴 的 
安全 需求 。 

步骤 6. 单位 分 析 并 确定 目标 框架 配置 文件 与 目前 的 框架 配置 文件 之 间 的 
差距 。 

单位 通过 对 比 目 前 的 框架 配置 文件 和 目标 框架 配置 文件 ,分 析 并 确定 二 者 
的 安全 差距 ,制定 行动 计划 。 接 下 来 ,单位 需要 通过 权衡 分 析 安 全 风险 和 安全 改 
进 所 带 来 的 代价 ,对 缩短 安全 差距 所 需要 采取 的 行动 制定 优先 级 。 

步骤 7: 实现 安全 行动 计划 

单位 依据 制定 的 目标 框架 配置 文件 ,参照 其 中 的 参考 性 文献 (如 安全 标准 、 
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指导 建议 和 安全 实践 ) 来 实现 安全 行动 计划 ,直至 实现 目标 框架 配置 文件 中 所 述 
的 所 有 “功能 "“ 类 ?或 " 子 类 ”。 


3. 单位 与 利益 相关 者 沟通 网 络 安全 需求 


本 规范 建立 的 框架 配置 文件 ,可 以 作为 不 同 利 益 相 关 者 之 间 相 互 沟通 交流 
安全 需求 的 一 种 通信 语言 。 这 有 利于 提高 不 同 利益 相关 者 之 间 的 沟通 效率 。 单 
位 可 以 用 其 目标 框架 配置 文件 来 表达 自己 对 其 他 单位 服务 提供 商 的 安全 要 求 
(如 云 服 务 用 户 可 以 对 云 服务 提供 商 描 述 自己 对 云 数据 安全 的 要 求 )。 一 个 关键 
基础 设施 的 拥有 者 或 运营 者 ,已 经 意识 到 了 自身 对 一 个 外 部 合作 单位 系统 的 依 
赖 性 ,此 时 这 个 拥有 者 或 运营 者 就 可 以 使 用 一 个 框架 配置 文件 来 向 合作 单位 说 
明 自 身 对 "功能 "“ 类 ?或 “ 子 类 ”的 要 求 。 


4. 引入 新 的 参考 性 文献 


本 规范 建立 的 框架 鼓励 单位 通过 引入 新 的 参考 性 文献 来 提高 框架 的 普 适 性 。 


5. 保障 隐私 和 公民 自由 
本 框架 需要 采取 一 定 的 方法 来 保障 单位 及 个 人 的 隐私 和 自由 权 。 
4.2.6 规范 小 结 


NIST 通过 将 所 有 这 些 资料 集成 到 一 个 统一 的 知识 库 里 ,为 组 织 评估 自身 
安全 准备 水 平和 自我 定位 提供 了 一 套 通行 的 术语 和 方法 论 。 本 规范 为 实现 网 络 
安全 实践 提供 了 一 个 通用 框架 ,但 并 非 是 预防 网 络 攻击 和 数据 泄露 的 万 能 解决 
方案 。 我 们 要 清楚 地 意识 到 ,指导 方针 和 条 例 规程 本 质 上 是 静态 的 ,因而 不 能 检 
测 和 减轻 不 断 变 化 的 安全 威胁 。 同 时 ,安全 防护 标准 也 远 远 跟 不 上 网 络 攻击 的 
脚步 。 合 理 的 安全 措施 和 最 佳 实践 只 是 解决 方案 中 的 一 部 分 。 要 想 有 效 预 防 网 
络 攻击 ,除了 技术 上 的 手段 ,还 得 结合 必要 的 大 数据 分 析 方 法 ,从 大 量 的 安全 反 
馈 信息 中 进行 快速 及 时 的 分 析 和 响应 。 从 这 个 意义 上 说 ,本 规范 确实 是 一 块 重 
要 的 基石 ,但 只 是 通 往 实现 抵御 网 络 安全 风险 的 第 一 步 。 


4.3 工业 控制 系统 安全 指南 


《工业 控制 系统 安全 指南 ) 趾 文档 用 于 指导 建立 安全 工业 控制 系统 
(SCADA,DCS,PLO) ,本 文 给 出 了 工业 控制 系统 (ICS) 简 介 , 综述 了 典型 的 ICS 
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系统 架构 和 拓扑 ,指出 了 已 知 的 安全 威胁 和 系统 脆弱 性 , 并 针对 这 些 安全 风险 
提供 了 安全 对 策 和 建议 。 具 体 指出 了 以 下 安全 目标 :限制 对 ICS 网 络 及 其 网 络 
活动 的 逻辑 访问 ;在 开发 过 程 中 保证 ICS 组 件 安全 ;防止 对 数据 的 非 授 权 访 问 ; 
能 检测 出 安全 事件 ,在 发 生 攻 击 、 故 障 等 不 利 情况 下 ,能 够 保证 ICS 功能 正常 运 
转 ; 能 够 在 发 生 安全 事件 后 进行 及 时 有 效 的 恢复 。 

SP 800-82 AZ it A Hi T ICS 安全 保护 的 建议 和 指导 , 若 能 有 效 地 满足 这 
样 的 需求 ,ICS 系统 就 可 达到 更 安全 的 (secure) , 即 系统 处 在 一 种 特定 状态 ,可 有 
效 地 抵御 所 面临 的 不 可 接受 的 风险 。 

该 指南 为 保障 工业 控制 系统 ICS 提供 指南 ,包括 数据 采集 与 监控 系统 
(SCADA) .分 布 式 控制 系统 (DCS) 和 其 他 完成 控制 功能 的 系统 。 它 概述 了 ICS 
和 典型 的 系统 拓扑 结构 ,指出 了 这 些 系统 的 典型 威胁 和 脆弱 点 所 在 ,为 消减 相关 
风险 提供 了 建议 性 的 安全 对 策 。 同 时 ,根据 ICS 的 潜在 风险 和 影响 水 平 的 不 同 ， 
指出 了 保障 ICS 安全 的 不 同方 法 和 技术 手段 。 该 指南 适用 于 电力 、 水 利 、 石 化 、 
交通 、 化 工 、 制 药 等 行业 的 ICS ABE. 

典型 的 工业 控制 系统 包括 数据 采集 和 监视 系统 (SCADA) 分布 式 控制 系统 
(DCS) 以 及 可 编程 逻辑 控制 器 (PLC)。 

如 图 4-10 所 示 ,ICS 操作 关键 组 件 包括 控制 回路 、 人 机 界面 (HMI) 、 远 程 诊 
断 和 维护 工具 。 


Set points, 
Control algorithms, 
Parameter constraints, 
Process Data 


Manipulated Controlled 
Variable Variables 


inputs | outputs 
Disturbances 
图 4-10 ICS 操作 (来 源 : 文献 [1] Figure 2-1) 
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根据 功能 划分 ,主要 的 ICS 元 件 可 以 分 为 控制 元 件 和 网 络 组 件 。 控 制 元 件 
包括 控制 器 .SCADA 服务 器 或 主 终端 单元 (MTU) 、 远 程 终端 装置 (RTU)、 可 编 
程 逻 辑 控制 器 (PLC) 、 智 能 电子 设备 (IED)、 人 机 界面 (CHMI) .历史 数据 库 、 输 入 
输出 (IO) 服 务 器 。 网 络 组 件 有 总 线 网 络 .控制 网 络 .通信 路 由 器 、 防 火 墙 、. 调 制 
解 调 器 、 远 程 接 入 点 。 

SCADA 系统 是 用 来 控制 地 理 上 分 散 的 资产 的 高 度 分 布 式 系统 ,往往 分 散 
数 千 平方 公里 ,其 中 集中 的 数据 采集 和 控制 是 系统 运行 的 关键 。 这 些 系 统 被 用 
于 配水 系统 和 污水 收集 系统 .石油 和 天 然 气管 道 .电力 设施 的 输电 和 配 电 系统 以 
及 铁路 和 其 他 公共 交通 系统 。 系 统 的 总 体 结构 如 图 4-11 所 示 。 
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图 4-11 SCADA 系统 总 体 结构 (来 源 : 文献 [1] Figure 2-2) 


分 布 式 控制 系统 (DCS) 用 于 控制 在 同一 地 理 位 置 的 生产 系统 ,被 用 来 控制 
工业 生产 过 程 ,如 炼油 厂 、 水 和 污水 处 理 \ 发 电 设备 ,化 学 品 制造 工厂 和 医药 加 工 
设施 等 行业 。 可 编程 逻辑 控制 器 (PLC) 可 用 在 SCADA 和 DCS 系统 中 ,作为 整 
个 分 级 系统 的 控制 部 件 ,通过 反馈 控制 ,提供 对 过 程 的 本 地 管理 。 图 4-12 给 出 
了 一 个 DCS 系统 实例 。 


4.3.1 ICS 特性 


起 初 ,ICS 与 IT 系统 并 无 相似 之 处 。 随 着 ICS 采用 广泛 使 用 的 、 低 成 本 的 
互联 网 协议 (IP) 设 备 取代 专 有 的 解决 方案 ,以 促进 企业 连接 和 远程 访问 能 力 , 并 
正在 使 用 行业 标准 的 计算 机 、 操 作 系统 (OS) 和 网 络 协议 进行 设计 和 实施 ,它们 
已 经 开始 类 似 于 IT 系统 了 。 但 是 ICS 有 许多 区 别 于 传统 IT 系统 的 特点 ,包括 
不 同 的 风险 和 优先 级 别 。 其 中 包括 对 人 类 健康 和 生命 安全 的 重大 风险 ,对 环境 
的 严重 破坏 ,以 及 金融 问题 如 生产 损失 和 对 国家 经 济 的 负面 影响 。 表 4-1 总 结 
了 一 些 IT 系统 和 ICS 之 间 的 典型 差异 。 
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图 4-12 DCS 系统 实例 (来 源 : 文 献 [1] Figure 2-7) 
表 4-1 IT 系统 和 ICS 的 差异 总 结 
分 类 信息 技术 系统 工业 控制 系统 
© 非 实时 。 实时 
* 响应 必须 是 一 致 的 。 响应 是 时 间 紧 迫 的 
性 能 需求 。 要 求 高 吞吐 量 。 适度 的 吞吐 量 是 可 以 接受 的 
。 高 延迟 和 抖动 是 可 以 接 | 。 高 延迟 和 (或 ) 抖动 是 不 能 接 
受 的 受 的 
。 重新 启动 之 类 的 响应 可 能 是 不 能 
。 HAAS 应 是 
rubea | 接受 的 ,因为 过 程 的 可 用 性 要 求 
可 用 性 需求 .可 用 性 的 缺陷 往往 可 以 | ”用 性 要 求 可 能 需要 元 余 系统 
i 。 中断 必须 有 计划 和 提前 预订 时 
容忍 的 ,当然 要 取决 于 系 间 ( 天 / 周 ) 
统 的 操作 要 求 


高 可 用 性 需要 详尽 的 部 署 前 测试 
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续 表 
分 类 信息 技术 系统 工业 控制 系统 
"BIEBER | 。 人 身 安全 是 最 重要 的 ,其 次 是 过 
最 重要 的 nie 
e AHA i -I R 
TN pa ie ipia an 容错 是 必 不 可 少 的 ,即使 是 瞬间 
din 的 停机 也 可 能 无 法 接受 
了 
。 主 要 的 风险 影响 是 不 合 规 ,环境 
。 主 要 的 风险 影响 是 业务 
ea 影响 ,生命 .设备 或 生产 损失 
。 首 要 焦点 是 保护 IT 资 
m 这 些 资 E 
a 。 首 要 目标 是 保护 边缘 客户 端 ( 例 
体系 架构 安全 焦点 pies i 如 现场 设备 .过 程控 制 器 ) 
Mid 。 保护 也 很 重要 
中 天 服务 器 可 能 需要 更 | ”中 央 服务 器 的 保护 也 很 重要 
多 的 保护 
安全 工具 必须 先 测试 (例如 ,在 参考 
未 预期 的 后 果 oe 1CS_E AY BEAD LU ECE FAK IHE 
"pee 响 ICS 的 正常 运作 
。 紧急 交互 不 太 重 要 。 对 人 和 其 他 紧急 交互 的 响应 是 
。 可 以 根据 必要 的 安全 程 x 
d pa] it ot di ze 
NOUS 度 实施 严格 限制 的 访问 | 。 应 严格 控制 对 ICS 的 访问 ,但 不 
控制 应 妨碍 或 干扰 人 机 交互 
。 与 众 不 同 且 可 能 是 专 有 的 操作 
。 系 统 被 设计 为 使 用 典型 | ”系统 ,往往 没有 内 置 的 安全 功能 
da 的 操作 系统 。 软 件 变更 必须 小 心 进行 ,通常 是 
。 采 用 自动 部 署 工具 使 得 | 。 由 软件 供应 商 操作 , 因 其 专用 的 
升级 非常 简单 控制 算法 ,以 及 可 能 要 修改 相关 
的 硬件 和 软件 
系统 被 指定 足够 的 资源 来 | 系统 被 设计 为 支持 预期 的 工业 过 
资源 限制 支持 附加 的 第 三 方 应 用 程 | 程 .可 能 没有 足够 的 内 存 和 计算 次 
序 如 安全 解决 方案 源 以 支持 附加 的 安全 功能 
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续 表 
分 类 信息 技术 系统 工业 控制 系统 
ae 。 许 多 专 有 的 和 标准 的 通信 协议 
D ap |" 便 用 多 种 类 型 的 传播 嵌 介 :包括 专 
通信 AR Dip Ep 用 的 有 线 和 无 线 (无 线 电 和 卫星 ) 
些 本 地 化 的 无 线 功能 的 pies i 
sae cree 。 网 络 是 复杂 的 ,有 时 需要 控制 工 
d i 程 师 的 专业 知识 
软件 变更 必须 进行 彻底 的 测试 ,以 
i 增 H MRY MI ~ 
在 具有 良好 的 安全 策略 和 | 递增 方式 部 署 到 整个 系统 ,以 确保 
控制 系统 的 完整 性 。ICS 的 中 断 往 
变更 管理 程序 时 ,软件 变更 是 及 时 应 | 人， Mid 
用 的 ,往往 是 自动 化 的 程序 往 必须 有 计划 ,并 提前 预订 时 间 
(R/H). ICS 可 以 使 用 不 再 被 厂 
商 支持 的 操作 系统 
管理 支持 允许 多 元 化 的 支持 模式 服务 支持 通常 是 依赖 单一 供应 商 
组 件 生 命 周 期 3~5 年 的 生存 期 15 一 20 年 的 生存 期 
— 组 件 通常 在 本 地 ,可 方便 地 | 组 件 可 以 是 隔离 的 ,远程 的 ,需要 大 
访问 量 的 物力 才能 获得 对 其 的 访问 


工业 控制 系统 面临 的 威胁 可 以 来 自 多 种 来 源 , 包 括 对 抗 性 来 源 如 敌对 政府 、 
恐怖 组 织 、 工 业 间 谍 、 心 怀 不 满 的 员工 、 恶 意 人 侵 者 ,自然 来 源 如 系统 的 复杂 性 、 
人 为 错误 和 意外 事故 、 设 备 故障 和 自然 灾害 。 

如 图 4-13 所 示 , 工 业 控 制 系统 潜在 的 脆弱 性 被 划分 为 策略 与 程序 类 、 平 台 类 
和 网 络 类 脆弱 性 ,在 工业 控制 系统 中 常 出 现 的 一 些 脆弱 性 都 可 归 集 到 这 儿 类 中 。 

随 着 ICS 系统 越 来 越 多 地 采用 标准 化 的 协议 和 技术 ,许多 安全 漏洞 已 知 , 连 
接 到 其 他 网 络 控制 系统 ,不 安全 和 非法 的 网 络 连接 以 及 系统 相关 技术 信息 的 广 
泛 普及 导致 ICS 控制 系统 风险 的 日 益 增 加 。 


4.3.2 ICS 系统 安全 程序 开发 与 部 署 


ICS 和 IT 系统 之 间 存 在 较 大 的 差异 ,这 将 影响 ICS 系统 采用 何 种 安全 控制 
措施 。ICS 系统 拥有 者 或 运营 者 应 制定 和 部 署 ICS 安全 策略 与 程序 ,这 些 安全 
策略 与 程序 必须 符合 ICS 在 技术 和 环境 方面 的 具体 安全 需求 。 拥 有 者 或 运营 者 
应 定期 审查 和 更 新 他 们 的 ICS 安全 计划 和 方案 ,以 适应 新 技术 .业务 .标准 和 法 
规 的 要 求 。 如 图 4-14 所 示 ,开发 与 部 署 ICS 安全 项 目 包 括 六 个 步骤 :建立 一 个 
ICS 安全 防护 商业 案例 ,创建 和 培养 一 个 多 功能 安全 人 才 团 队 , 制 定安 全 章程 和 
安全 保护 范畴 ,制定 ICS 安全 策略 和 安全 措施 实施 流程 ,开发 实现 ICS 安全 风险 
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工业 控制 系统 安全 策略 不 当 
没有 正式 的 工业 控制 系统 安全 培训 和 意识 培养 
安全 架构 和 设计 不 足 

策略 和 程 | ”没有 明确 具体 、 书 面 的 安全 策略 或 程序 文件 

dod 系统 设备 操作 指南 缺失 或 不 足 
安全 执行 中 管理 机 制 的 缺失 

工控 系统 中 很 少 或 者 没有 安全 审计 

没有 明确 的 ICS 系 统 业务 连续 性 计划 或 灾难 恢复 计划 

没有 明确 具体 的 配置 变更 管理 程序 

ICs 系 统 洪 平台 配置 方面 的 脆弱 性 

ERIEN 平台 方面 | 平台 硬件 方面 的 脆弱 性 
的 脆弱 性 | 平台 软件 方面 的 脆弱 性 

平台 恶意 软件 防护 方面 的 脆弱 性 
网 络 配置 漏洞 
网 络 硬件 漏洞 

网 络 方面 网 络 边界 漏洞 

的 脆弱 性 | — 网络 监 控 和 记录 漏洞 
通信 中 的 漏洞 
无 线 连接 中 的 漏洞 

图 4-13 ICS 系统 潜在 的 脆弱 性 


管理 框架 ,培训 ICS 员工 的 安全 意识 和 安全 技能 。 


建成 安全 项 目的 收益 


不 实施 安全 项 目的 后 果 


安全 程序 的 实施 、 运 
安全 业务 方案 行 、 监 管 、 维 护 等 流程 


建成 安全 项 目的 收益 


开发 、 实 施 、 运行、 维 
护 安 全 项 目的 
成 本 和 资源 


图 4-14 安全 业务 方案 


1. 建立 一 个 ICS 安全 防护 商业 案例 


开发 与 部 署 ICS 安全 项 目的 第 一 步 就 是 要 针对 ICS 系统 提供 商 . 拥 有 者 或 运营 
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者 等 单位 的 安全 需求 ,定制 一 个 ICS 安全 防护 商业 案例 。 该 案例 应 该 能 够 涵盖 并 有 
效 解决 这 些 单位 领导 管理 者 们 所 关心 的 安全 问题 。 案 例 应 该 包括 以 下 四 方面 内 容 : 
(1) 如 果 单 位 建立 一 个 ICS 系统 安全 防护 项 目 , 能 给 单位 带 来 多 大 的 收益 ; 
(2) 如 果 单 位 没有 实施 ICS 系统 安全 项 目的 话 , 那 么 单位 将 有 可 能 遭受 多 
大 的 经 济 损失 和 破坏 ; 
(3) 案例 应 给 出 一 个 关于 安全 防护 项 目 实施 .运作 ,监测 审查、 维护 和 改进 
的 概略 介绍 ,让 领导 管理 者 们 能 够 对 整个 项 目 有 个 全 面 的 了 解 ; 
(4) 案例 还 应 该 给 出 一 个 关于 开展 安全 防护 项 目 所 需 付 出 的 经 济 开销 和 网 
络 ( 或 系统 ) 资 源 开销 等 。 


2. 创建 和 培养 一 个 多 功能 安全 人 才 团 队 


在 开发 和 部 署 ICS 系统 安全 防护 项 目 过 程 中 ,创建 一 个 多 功能 安全 人 才 队 
伍 对 于 项 目的 成 功 实施 来 说 是 至 关 重 要 的 。 这 个 团队 的 人 员 应 该 包括 IT 员工 、 
控制 系统 工程 师 、 控 制 系统 操控 者 、 信 息 安全 专家 及 企业 风险 管理 部 门 员 工 。 这 
些 多 功能 安全 人 才 拥 有 网 络 架构 、 安 全 控制 过 程 和 实践 、 安 全 基础 设施 设计 和 运 
行 等 不 同 领 域 的 专业 技术 知识 ,一 起 协同 合作 评估 ICS 系统 的 安全 威胁 ,并 商讨 
消除 安全 威胁 的 办 法 。 
虽然 工业 控制 工程 师 在 ICS 安全 防护 方面 扮演 了 举足轻重 的 角色 ,但 是 如 
果 没 有 IT 部 门 和 管理 部 门 的 大 力 支 持 , 他 们 也 无 法 完成 ICS 安全 防护 工作 。 
IT 人 员 拥 有 丰富 的 信息 安全 经 验 , 这 些 经 验 可 以 指导 工业 控制 工程 师 开 展 ICS 
安全 防护 工作 。 尽 管 IT 人 员 和 工业 控制 工程 师 的 技术 背景 相差 其 远 ,但 是 二 者 
的 结合 对 于 开展 ICS 安全 防护 工作 来 说 却 是 必需 的 。 


3. 制定 安全 章程 和 安全 保护 范 暑 


信息 安全 管理 者 应 该 在 控制 系统 拥有 者 、 业 务 流程 管理 者 和 用 户 的 信息 安 
全 角色 和 职责 等 方面 ,制定 安全 章程 和 安全 保护 范畴 。 关 于 信息 安全 项 目 目标 、 
商业 影响 ,涉及 的 计算 机 系统 和 网 络 、 项 目 预算 和 资源 开销 以 及 责任 分 工 等 因 
素 ,信息 安全 管理 者 应 该 做 出 明确 的 章程 并 形成 书面 文件 。 至 于 安全 保护 范畴 ， 
信息 安全 管理 者 则 应 该 规定 开展 安全 培训 和 审计 、 制 定安 全 法 律 .法 规 等 工作 所 
涉及 的 范围 。 


4. 制定 ICS 安全 策略 和 安全 措施 实施 流程 


安全 策略 和 安全 措施 实施 流程 是 安全 防护 项 目 成 功 开展 的 基础 。ICS 安全 
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策略 和 安全 措施 实施 流程 应 该 尽 可 能 地 整合 现 有 工业 控制 操作 和 管理 策略 和 流 
程 。 当 信息 安全 管理 者 确定 了 信息 安全 风险 分 析 方 法 之 后 ,就 应 该 对 照 分 析 现 
有 安全 策略 是 否 能 够 满足 安全 需求 。 如 果 需 要 的 话 , 信 息 安 全 管理 者 也 可 以 在 
现 有 安全 策略 基础 上 来 改进 或 者 重新 制定 新 的 策略 。 


5. 开发 实现 ICS 安全 风险 管理 框架 


NIST SP 800-39《 从 组 织 . 任 务 和 信息 系统 角度 管理 信息 安全 风险 ) 中 为 开 
展 安全 风险 管理 项 目 提供 了 理论 基础 。 该 标准 指出 ,与 其 他 领域 业务 流程 类 似 ， 
在 工业 控制 系统 中 ,安全 人 员 应 该 利用 他 们 的 专业 知识 来 开展 ICS 安全 风险 管 
Ji TE ,并 与 企业 管理 层 沟通 ,以 此 来 为 整个 企业 提供 有 效 的 安全 风险 管理 保 
障 。NIST SP 800-37《 联 邦 政府 信息 系统 安全 风险 管理 框架 实施 指南 ) 中 为 联邦 
政府 实施 信息 系统 安全 风险 管理 框架 ,给 出 了 具体 的 指导 意见 。 此 外 ,ISA- 
62443-2-1《 工 业 自 动 化 和 控制 系统 安全 :建立 一 个 工业 自动 化 和 控制 系统 安全 
项 目 》 标 准 69 ,以 工业 自动 化 和 控制 系统 视角 ,介绍 了 应 该 如 何 部 署 网 络 安全 管 
理 系统 。 信 息 安 全 管理 者 应 该 参照 上 述 现 有 标准 ,通过 确定 ICS 系统 与 网 络 资 
产 ,确定 不 同 ICS 安全 风险 优先 级 ,实施 安全 风险 评估 ,实施 安全 风险 消除 措施 
等 步骤 来 开发 实现 ICS 安全 风险 管理 框架 。 详 细 的 ICS 安全 项 目 开发 流程 可 以 
参见 图 4-15。 


— 明确 安全 组 织 系统 所 有 方 和 明确 CS 具体 安全 政策 和 步 怠 ， 尽 可 
通过 妥 至 业务 方案 EN ijs 3 

i | IC 一 > | 使 用 方 的 作用 、 责 任 与 义务 ，| > | 能 整合 到 现 有 的 运营 政策 和 管理 政策 
获得 高 层 的 支持 中 职能 小 组 安全 程序 所 涉及 和 影响 的 范围 中 ， 确 保安 全 保护 的 持续 性 和 通用 性 
组 织 培训 以 此 来 提高 安全 意 明确 风险 、 脆 弱点 消除 方法 ， W AICS LRA SIENTE, 
BL RIFIAA RUM: < 一 卫 | 充分 考虑 潜在 风险 代价 和 消除 | 一 了 | 通过 风险 评估 确定 1CS 安 | og f 编制 ICS 系 统 与 网 

mi 全 的 优先 级 ， 通 过 安全 络 资产 目 

程序 的 守则 和 范围 风险 的 成 本 Par al Ss 


图 4-15 综合 安全 程序 的 开发 


4.3.3 深度 防御 架构 


在 系统 安全 建设 的 环节 中 ,除了 安全 程序 开发 , 另 一 个 关键 环节 是 处 理 好 
ICS 网 络 与 其 他 应 用 网 络 的 连接 问题 ,以 及 网 络 体系 结构 问题 。 当 设计 部 署 含 
有 ICS 系统 的 网 络 架构 时 ,通常 的 建议 是 将 ICS 网 络 和 企业 网 络 进行 分 离 ,这 种 
情况 下 ,企业 网 的 安全 和 性 能 问题 不 会 影响 ICS 网 络 。 当 必须 需要 连接 时 ,强烈 
建议 仅 进行 最 小 连接 并 通过 防火 墙 和 DMZ 区 进行 连接 。DMZ 区 是 直接 连接 
在 防火 墙 上 的 独立 网 络 分 区 。 需 要 访问 企业 网 络 的 ICS 系统 数据 服务 器 一 般 放 
Æ DMZ 区 。 如 图 4-16 所 示 ,关于 深度 防御 体系 结构 ,本 指南 给 出 了 以 下 建议 : 


i$ 


Wireless 
Access Points En 
p gineering 
er LM "Workstation 


DB/Historian Sı 
un) uon ion 


Remote 
Business P Business Business — Applocatioi 
Peers Servers Workstations Servers 


eMail FTP — Wireless 
Server Server Access q 
Points | 


Firewall 


Q: IDS Sensor 


图 4-16 CSSP 建议 的 深度 防御 架构 (来 源 : 文献 [1] Figure 5-5) 


1. 网 络 划 分 和 隔离 


传统 意义 上 ,网络 隔 离 和 分 区 应 用 在 区 域 之 间 的 网 关上 。ICS 通常 由 多 种 定义 
的 区 域 ,例如 ,控制 系统 局 域 网 、 企 业 局 域 网 等 。 网 络 分 区 常用 的 方法 有 逻辑 网 络 分 
区 (划分 VLAN .使 用 加 密 VPN、 使 用 单 向 网 关 ) ,物理 网 络 分 区 和 网 络 流量 过 滤 等 。 


2. 边界 保护 


边界 保护 包括 网 关 路由器、 防火 墙 、 保 护 装置 .基于 网 络 的 恶意 代码 分 析 和 
虚拟 化 系统 ,入 侵 检测 系统 ,加密 通道 ,监管 接口 .邮件 网 关 和 单 相 网 关 等 。 常 用 
的 技术 主要 有 白 名 单 技术 .服务 器 代理 ,数据 深度 检测 等 。 


3. 控制 网 络 的 逻辑 隔离 


比较 可 行 的 一 种 逻辑 隔离 方式 是 在 ICS 网 络 和 企业 网 络 之 间 实 施 DMZ 
区 ,只 有 指定 的 数据 才能 在 企业 网 和 DMZ 区 以 及 ICS 网 络 和 DMZ 区 之 间 进 
通信 ,使 企业 网 络 和 ICS 网 络 不 能 直接 进行 数据 交换 。 
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4. 网 络 隔离 


常见 的 网 络 隔离 的 形式 有 使 用 双 宿 主 计算 机 / 双 网 卡 、 企 业 网 络 和 控制 网 络 
之 间 使 用 防火 墙 、 防 火 墙 和 路 由 器 .防火墙 和 DMZ 区 、 双 宛 余 防火 墙 几 种 方式 
之 一 。 更 深 一 步 的 网 络 隔离 策略 是 使 用 深度 防御 架构 ,相关 策略 包括 使 用 防火 
墙 . 创 建 DMZ 区 、 具 有 有 效 策略 的 入 侵 检测 能 力 、 培 训 计 划 以 及 事件 响应 机 制 。 
图 4-16 为 DHS 控制 系统 安全 项 目 推荐 的 一 种 深度 纵深 防御 架构 。 


4.3.4 ICS 安全 控制 


安全 控制 是 信息 系统 为 了 保护 其 信息 的 保密 性 、 完 整 性 和 有 效 性 而 制定 的 
一 套 管理 ,操作 和 技术 控制 方法 。 本 “指南 ”主要 是 将 NIST SP 800-53 rp “HK 
邦 信息 系统 与 组 织 安全 控制 方法 ?部 分 提出 的 管理 .运营 和 技术 方面 的 控制 措施 
运用 在 ICS 中 。NISP SP 800-53 是 针对 联邦 政府 信息 系统 ,为 信息 系统 选择 和 
指定 安全 控制 方法 而 提出 的 准则 。 如 图 4-17 所 示 , 安 全 控制 分 为 三 个 等 级 : 管 
一 安全 评估 和 授权 
规划 
三 管理 控制 人。 风险 评估 
系统 和 服务 获取 
一 项 目 群 管理 
一 人 员 安 全 
物理 和 环境 安全 


"EE 维护 

控制 系统 和 信息 完整 性 
介质 保护 
事件 应 急 响 应 

一 意识 和 培训 


gue IE 

— 1 -应 答 鉴定 
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图 4-17 ICS 安全 控制 
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理 控 制 .运行 控制 和 技术 控制 。 
4.4 工业 控制 系统 网 络 安 全 性 能 测试 床 


NIST 开展 的 工业 控制 系统 网 络 安全 性 能 测试 床 c53 的 目的 是 ,在 国家 和 国 
际 标准 提供 的 最 佳 实践 和 需求 的 网 络 安全 保护 的 基础 上 衡量 ICS 的 性 能 。 测 试 
床 的 目标 就 是 尽 可 能 地 仿真 实际 的 ICS, 包 括 慢 过 程 系 统 和 快 过 程 系统 。 测 试 
床 还 仿真 各 种 工业 协议 ,包括 IP 路 由 协议 和 非 IP 路 由 协议 。 路 由 协议 包括 基 
于 了 JP 的 协议 (如 TCP 和 UDP) 以 及 工业 应 用 层 协议 (如 EtherNet/IP, OPC, 
Modbus/TCP). JE IP 路 由 协议 包括 传统 的 总 线 协 议 , 如 DeviceNet。 在 NIST 
的 路 线 图 中 非 TP 的 路 由 协议 的 优先 级 要 低 于 TP 路 由 协议 。 


1. 测试 床 设 计 目 标 


ICS 安全 测试 床 的 设计 是 论证 各 种 过 程 系统 的 安全 应 用 ,例如 化 工 过 程 、 机 
器 人 动态 组 装 和 大 规模 网 络 (例如 燃气 管道 、. 输 水 管道 和 分 布 式 智 能 交通 系统 ) 
的 分 布 式 监 视 和 控制 。 如 上 所 述 ,测试 床 的 主要 目的 就 是 论证 工业 控制 系统 安 
全 标准 的 应 用 ,比如 将 NIST SP 800-82 中 的 保护 措施 应 用 到 网 络 控制 系统 , 观 
测 系统 的 改进 或 者 延迟 性 能 。 测 试 床 也 可 以 用 来 分 析 , 如 何在 不 影响 工艺 性 能 
的 前 提 下 实施 有 效 的 安全 保障 。 测 试 床 的 第 三 个 目标 就 是 测试 网 络 攻击 下 测试 
床 的 可 恢复 能 力 。 可 恢复 性 是 系统 在 网 络 攻击 后 的 主要 关注 性 能 。 研 究 机 构 、 
政府 和 行业 能 够 基于 此 测试 床 对 新 技术 进行 验证 分 析 , 提 高 人 侵 检测 技术 ,使 控 
制 过 程 在 应 对 攻击 时 具有 更 强 的 恢复 性 。 


2. 测试 床 设 计 架 构 


测试 床 根据 仿真 的 工业 场景 分 为 三 个 部 分 ,第 一 个 场景 是 由 Downs 和 
Vogel 提出 的 TE it fé (Tennessee Eastman Process) ,这 是 实际 化 工 过 程 制造 中 
的 经 典 过 程 。 这 是 一 个 典型 的 开 环 系统 。 

第 二 个 场景 是 机 器 人 组 装 系统 ,通过 工业 机 器 人 之 间 的 协调 工作 来 完成 将 
部 件 在 模拟 的 操作 控制 台 上 的 移动 。 这 是 一 个 典型 的 闭环 系统 。 

第 三 个 场景 是 由 范 德 堡 大 学 根据 与 NIST 的 合作 协议 设计 的 。 基 本 的 概念 
包括 具有 大 规模 SCADA 管道 网 络 和 具有 分 布 式 基础 结构 控制 的 智能 交通 
系统 。 
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3. TE 过 程 仿真 


TE 过 程 作为 连续 过 程 模型 主要 有 以 下 几 点 原因 : OTE 模型 是 控制 系统 中 
的 最 经 典 的 模型 ,平台 过 程 的 动态 性 比较 容易 理解 ; 思 这 一 过 程 必须 被 控制 , 否 
则 其 他 扰动 会 使 系统 进入 不 稳定 状态 。TE 过 程 模 型 的 这 种 内 在 的 不 稳定 的 开 
环 控制 在 实际 中 被 网 络 攻击 利用 就 很 容易 能 够 引起 人 员 安 全 环境 安 全 和 经 济 
损失 ; 加 这 个 过 程 是 复杂 的 , 非 线性 的 ,并 且 有 许多 其 他 因素 控制 和 干扰 过 程 的 
动态 性 。 最 后 ,TE 过 程 有 很 多 现成 可 用 的 代码 。 

TE 过 程 的 实际 工艺 流程 图 如 图 4-18 所 示 。 
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图 4-18 TE 过 程 工艺 流程 图 (来 源 : 文献 [12] Figure 1) 


这 个 过 程 使 用 四 种 原料 A C. D,E, ^ 4E PERI m GAH, AS ah Pes AT 
道 转 的 和 放 热 的 ,四 个 反应 缸 的 反应 速率 是 反应 温度 的 函数 。 整 个 过 程 分 为 五 
个 部 分 : BLL SE .冷凝 器 . 气 液 分 离 器 、 分 离 器 和 回收 压缩 机 。 

反应 过 程 简要 描述 如 下 (参考 图 4-180: 反应 器 中 气体 的 反应 物 相 结合 ， 


SW 
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成 液态 产品 。 反 应 器 的 温度 必须 使 用 冷却 水 冷却 进行 控制 。 反 应 并 不 能 100% 
进行 ,会 有 一 些 气体 留存 在 里 面 。 反 应 缸 的 产品 进入 冷凝 器 ,将 其 进一步 冷却 为 
液体 形式 。 气 液 分 离 器 将 未 反应 的 气体 与 液体 产品 进行 分 离 。 未 反应 的 气体 通 
过 离心 循环 压缩 机 送 回 到 反应 钠 中 。 分 离 过 程 也 不 会 100% 进 行 ,剩余 的 在 汽 
提 塔 中 与 通过 管道 4 输送 的 C 进行 混合 ,反应 物 G 和 H 进一步 进行 精制 。 反 应 
的 副 产 物 净 化 后 通过 9 所 示 的 清除 阀 。 

对 于 TE 过 程 来 说 ,实际 的 网 络 结构 图 如 图 4-19 所 示 。 
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图 4-19 TE 过 程 网 络 结构 图 (来 源 : 文献 [12] Figure 2) 


网 络 系统 共 分 为 三 个 区 域 :控制 区 域 . 操 作 区 域 和 DMZ 区。 控制 区 域 主管 
TE 设备 和 控制 器 进程 。 操 作 区 域 主 管 数据 可 视 化 的 人 机 界面 、 修 改 模拟 设 定 值 
以 及 参数 。DMZ 区 将 控制 网 络 与 办 公 网 络 隔离 开 , 主 要 是 使 用 一 台历 史 服务 器 多 
许 办 公 网 数据 进入 到 TE 设备 ,防止 未 经 允许 的 控制 器 状态 数据 进入 到 控制 网 络 。 
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TE 设备 和 控制 过 程 的 状态 数据 都 是 由 OPC 服务 器 处 理 ,OPC 服务 器 通过 
各 种 工业 协议 与 PLC 连接 ,例如 不 可 路 由 的 DeviceNet 协议 和 可 路 由 的 
EtherNet/IP 协议 。 进 程 状态 是 由 PLC 传送 到 OPC 服务 器 分 配 ,也 就 是 本 地 的 
历史 服务 器 记录 状态 数据 然后 将 其 转发 给 DMZ 区 的 企业 历史 服务 器 。 

防火 墙 用 在 操作 区 域 和 控制 区 域 之 间 ,执行 数据 包 的 深度 检查 和 设备 访问 
授权 (使 用 白 名 单机 制 ), 只 要 是 作为 PLC 的 一 个 网 络 保护 机 制 。 

此 外 ,该 模型 还 包含 测量 区 域 来 抓 取 数据 包 , 执 行 自 定义 的 网 络 延迟 ,更 好 
地 仿真 网 路 安全 装置 产生 的 延迟 。 


4. 智能 制造 中 应 用 的 协作 组 装机 器 人 
机 器 人 组 装 系统 用 于 展示 离散 过 程控 制 中 安全 措施 的 使 用 ,在 这 个 过 程 具 
有 快速 动作 和 数据 量 大 的 特点 ,需要 确定 的 实时 协议 和 基于 以 太 网 的 TP. 协议 的 


结合 。 网 络 设计 图 如 图 4-20 所 示 。 本 系统 设计 使 用 本 地 局 域 网 ,控制 器 和 机 器 
人 本 体 之 间 使 用 EtherCAT 实时 工业 协议 进行 通信 。 
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图 4-20 机 器 人 组 装 系统 网 络 架构 图 (来 源 : 文献 [12] Figure 6) 
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机 器 人 组 装 系统 的 设计 思路 与 TE 过 程 平台 的 设计 思路 基本 相同 ,也 是 将 
机 器 人 系统 的 不 同 功能 封装 到 不 同 的 各 个 子 模块 中 。 三 层 交 换 机 用 于 进行 快速 
的 网 络 配置 。 机 器 人 组 装 系统 与 TE 过 程 系统 一 样 , 也 是 用 来 验证 通用 安全 标 
准 的 指定 需求 。 

机 器 人 控制 器 是 机 器 人 操作 系统 (Robot Operating System，ROS) 的 实现 
JZ. ROS 不 是 普通 意义 上 的 操作 系统 ,而 是 开发 机 器 人 应 用 的 框架 。 图 4-21 显 
示 了 机 器 人 平台 中 ROS 实现 的 节点 级 软件 架构 ,所 有 的 节点 都 是 使 用 Python 
实现 ,软件 框架 也 可 以 分 为 多 个 逻辑 组 。 


PLC IO Layer Control Layer 


I 
I 
1 
上 
1 


Physical Layer | 


图 4-21 机 器 人 平台 节点 级 软件 框架 (来 源 : 文献 [12] Figure 12) 


ROS 可 以 分 为 的 关键 的 功能 组 有 节点 组 .原理 组 和 服务 组 。 节 点 是 逻辑 组 
的 基本 封装 ,节点 间 通 过 原理 组 使 用 订阅 一 发 布 模式 进行 通信 ,通信 过 程 是 异步 
的 。 服 务 是 以 节点 间 异 步 通 信 的 方式 存在 。 

控制 层 由 提供 控制 功能 的 节点 组 成 ,主要 实现 以 下 三 个 功能 : 四 提供 机 器 
人 具体 控制 的 分 布 式 控制 节点 ; OROS 接口 节点 的 Youbot 驱动 ; 四 允许 ROS 
节点 监视 传感器 .操作 按钮 和 PLC 状态 的 Modbus 接口 。 

PLC 1/0 层 是 为 ROS 和 PLC 之 间 连 接 桥梁 提供 服务 。HMI 是 当前 机 器 
人 和 控制 系统 的 状态 的 图 像 化 显示 界面 。 图 形 界面 也 包括 相关 的 控制 功能 , 例 
如 程序 启 停 、 a ele EARE 

当 所 有 的 一 切 准备 完毕 后 ,系统 通过 检测 面板 上 的 操作 按钮 来 进行 启动 。 
FEL A SBE, MAHL HOE 递 和 顺序 传递 两 种 工作 方式 。 工 件 在 进 
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入 工作 台 前 按 顺 时 针 顺 序 移动 。 
5. 大 规模 SCADA 管道 网 络 和 具有 分 布 式 基础 结构 控制 的 智能 交通 系统 


这 个 平台 主要 包括 具有 大 规模 SCADA 管道 网 络 和 具有 分 布 式 基础 结构 控 
制 的 智能 交通 系统 ,目前 还 处 于 概念 设计 阶段 。 


6. 测试 床 应 用 


总 的 来 说 ,工业 控制 系统 的 过 程 包 括 连续 控制 .离散 控制 以 及 混合 控制 三 
类 。 连 续 控 制 是 指 系统 中 的 原料 不 能 中 断 或 者 等 待 ,离散 控制 是 指 系统 的 原料 
经 常 出 现 中 断 或 者 等 待 的 情况 ,但 是 多 数 系 统 还 是 两 者 兼 有 的 系统 。 控 制 系统 
的 划分 以 及 举例 如 表 4-2 所 示 。 


R42 工业 过 程 分 类 
类 别 过 程 实例 


化 工 生产 
油气 精炼 
油气 生产 和 销售 
”半导体 生产 
冶炼 

E 


高 度 连续 过 程 


”机 器 人 装配 
高 度 离散 过 程 。 自动 化 组 装 
。 楼宇 自动 化 


。 糖果 生产 
连续 离散 混合 过 程 ”制药 
* 金属 合金 制造 


安全 指标 和 工艺 性 能 指标 都 必须 应 用 于 工业 控制 系统 中 。 工 艺 性 能 指标 有 
吞吐 量 .产品 质量 .产品 差错 率 和 和 运营 成 本 。 安 全 指标 也 就 是 信息 技术 出 版 物 
(如 NIST SP 800-55 和 信息 技术 安全 评估 通用 标准 ) 中 公开 定义 的 指标 。 

工业 控制 系统 安全 测试 床 用 于 验证 IEC62443 描述 的 安全 需求 ,这 些 需求 
也 反映 了 NIST 800-82 的 原则 。IEC 系列 的 文档 归 类 如 图 4-22 所 示 。 

在 这 些 文档 中 1-X 系列 的 文档 讲述 了 标准 的 目的 以 及 标准 使 用 的 环境 ,2-X 
系列 的 文档 讲述 了 安全 需求 以 及 ICS 安全 的 实施 政策 和 过 程 ,3-X 系列 的 文档 
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图 4-22 ISA/IEC-62443 标准 文档 归 类 (来 源 : 文献 [12] Figure 15) 


讲述 了 系统 集成 的 架构 需求 以 及 将 安全 技术 应 用 到 ICS 集成 系统 中 的 指导 方 
针 ,4-X 系列 的 文档 讲述 了 生产 商 实现 他 们 产品 的 安全 需求 。 
表 4-3 一 表 4-7 是 测试 中 使 用 的 一 些 测试 指标 以 及 解释 。 


表 4-3 连续 过 程 的 性 能 指标 


指标 描述 
过 程 可 用 率 工业 过 程 中 正常 的 时 间 占 总 时 间 的 比率 
产品 质量 产品 的 优良 (废品 率 ) 或 者 纯度 的 统计 数据 
过 程 变 量 从 稳定 点 或 者 设 定点 偏离 或 者 振荡 的 数 
半生 人 性 量 的 统计 测量 值 
当 —^ fà dis AS. MA BEA ARS 
BARE 当 系 统 从 一 个 稳 态 过 渡 到 新 的 稳 态 ,或 系统 受 扰动 


后 又 重新 平衡 后 ,系统 出 现 的 偏差 


响应 时 间 


控制 系统 从 扰动 到 恢复 正常 状态 的 时 间 
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续 表 
指标 描述 
测试 费用 在 当前 运行 过 程 测 试 所 需要 的 花费 
"m 误 后 的 系统 关闭 时 间 , 当 六 "m 
安全 系数 当 检测 到 错误 后 的 系统 关闭 时 间 , 当 涉及 人 身 安 全 


时 特别 重要 


极限 状态 下 的 运行 时 间 


在 极限 状态 下 过 程控 制 变量 时 间 积 累 的 测量 值 


绝对 误差 积分 (IAE) 


评估 系统 反馈 控制 的 通用 指标 


时 间 与 绝对 误差 乘积 的 积分 (ITAE) 


评估 系统 反馈 控制 的 通用 指标 


表 4-4 离散 过 程 的 性 能 指标 
指标 描述 
产品 质量 产品 优良 或 纯度 的 定量 测量 
T 站 
概率 
单位 次 品 数 单位 范围 内 次 品 数量 的 统计 数 
过 程 重新 启动 率 在 固定 的 时 间 间 隔 内 ,控制 过 程 必须 重启 的 次 数 
在 线 运 行 的 变异 性 命令 和 执行 完成 之 间 的 时 间 统 计 测量 值 
过 程 持续 时 间 eee 
表 4-5 测量 系统 性 能 的 指标 
指标 描述 
Tr 2 ce mu RAM 总 数 的 百 
统 的 利用 率 通常 报告 为 总 的 系统 硬盘 空间 
非 易 失 性 存储 器 s i IDE 
CPU 利用 率 总 的 CPU 利用 时 间 的 百分比 
1/0 读 取 负 载 CPU 1/0 信道 读 取 的 总 字 节 数 
WO 写 入 负载 CPU 1/0 信道 写 入 的 总 字 节 数 
当 设备 (如 PLC) 在 执行 下 一 个 控制 循环 前 扫描 变 
扫描 丢失 率 量 时 ,在 给 定 的 时 间 内 没有 读 取 到 的 传感器 的 总 


数量 
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R46 系统 性 能 的 标 称 指标 


指标 描述 
例如 铜 线 、 光 纤 、 无 线 以 及 使 用 的 相应 协议 如 CAT-6 铜 线 、 
spem 802. 11g 无 线 
' 分 配给 信道 的 全 部 带宽 。 用 于 无 线 信 道 比 如 IEEES02. 15.1 和 
调制 的 无 线 信道 比如 Ethernet 
额定 信道 容量 网 络 中 发 送 和 接收 的 元 素 的 额定 容量 
信道 编码 用 于 编码 传输 的 算法 或 者 结构 ,包括 交错 、 信 道 编 码 、 调 制 和 干 
扰 处 理 属性 
环境 特性 系统 部 署 环境 的 机 械 、 电 气 和 电磁 特性 
信道 压缩 传输 时 的 数据 压缩 算法 
额定 信道 的 吞吐 量 给 定 的 传输 或 者 接收 设备 的 标 称 的 理论 甜 吐 量 
所 使 用 的 路 由 算法 的 类 型 。 知 道路 由 算法 对 于 移动 自 组 网 和 
TRENDS 满载 自 组 网 尤其 有 用 
使 用 的 交换 算法 二 层 交 换 机 所 使 用 的 算法 类 型 
确定 性 边界 系统 的 即时 约束 条 件 
表 4-7 测量 网 络 性 能 的 指标 
指标 描述 
信息 的 包 速 率 在 最 高 观测 网 络 层 上 测量 到 的 用 于 应 用 层 的 信息 包 速 率 
信息 的 比特 速率 在 最 高 观测 网 络 层 上 测量 到 的 用 于 应 用 层 的 信息 比特 率 
原始 包 速 率 在 第 二 层 测量 到 的 包含 开销 和 重 试 的 原始 包 速 率 
原始 比特 速率 在 第 二 层 测量 到 的 包含 开销 和 重 试 的 原始 比特 速率 


信息 延迟 (分 布 式 ) 


全 部 信息 (多 个 数据 包 ) 在 网 络 和 网 络 连接 中 的 延迟 。 用 于 在 
数据 包 重 组 的 那 层 (通常 是 应 用 层 ) 上 的 长 数据 包 的 测量 


包 延 迟 (分 布 式 ) 单个 数据 包 在 网 络 和 网 络 连接 中 的 延迟 
包 延 迟 拌 动 测量 到 的 一 整 串 数据 包 延 迟 变 化 
处 理 延 迟 由 网 络 连 接 设 备 ( 交 换 机 和 路 由 器 等 ) 所 引起 的 延迟 
排队 延迟 数据 包 在 处 理 之 前 输入 到 队列 中 所 需 的 时 间 
传输 延迟 量子 信息 在 传输 端 和 接收 端 之 间 传 播 所 需要 的 时 间 
包 冲 突 二 层 设 备 报告 的 冲突 数量 
包 错 误 率 在 传输 层 测 到 的 数据 包 的 错误 率 
BERR 在 传输 层 测 到 的 数据 包 的 丢失 率 
数据 包 大 小 (分 布 式 ) ”| 通过 网 络 传输 数据 包 大 小 的 分 布 


探 明 的 确定 性 边界 


实时 确定 性 失败 的 测量 点 
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4.5 小 结 


本 章 深入 分 析 了 近年 来 NIST 在 工业 控制 安全 方面 所 做 的 工作 和 相关 成 果 ， 


重点 介绍 了 SP 800-82《 工 业 控 制 系统 (ICS) 安 全 指南 )《 提 高 关键 基础 设施 网 络 安 
全 的 框架 规范 》 和 工业 控制 系统 网 络 安全 性 能 测试 床 等 标准 文献 和 项 目 情况 。 


参考 文献 


[1] 


Keith Stouffer, Victoria Pillitteri, et al. Guide to Industrial Control Systems (ICS) security: 
Supervisory Control and Data Acquisition (SCADA) Systems, Distributed Control Systems 
(DCS), and other control system configurations such as Programmable Logic Controllers 
(PLC). 2011. http://nvlpubs. nist. gov/nistpubs/SpecialPublications/ NIST. SP. 800-82r2. pdf 
NIST. Framework for improving critical infrastructure cybersecurity. https://www. nist. 
gov/sites/ default/files/documents/cyberframework/ cybersecurity-framework-021214. pdf 
NIST. Cybersecurity for smart manufacturing systems. https://www. nist. gov/ programs- 
projects/cybersecurity-smart-manufacturing-systems 
NIST. Cybersecurity for smart grid systems. https://www. nist. gov/programs- 
projects/cybersecurity-smart-grid-systems 
NIST. Smart CITIES/CPS at NIST. https://www. nist. gov/sites/default/files/documents/ 
2017/05/09 /smartcities cps budgetsheet. pdf 
NIST. Reference architecture for cyber-physical systems. https://www. nist. gov/ 
programs-projects/reference-architecture-cyber-physical-systems 
NIST. Public safety communications research. http://www. nist. gov/oles/public _ 
safety. cfm 
NIST Special Publication 800-39. Managing information security risk-organization. 
mission, and information system view. http: //nvlpubs. nist. gov/nistpubs/Legacy/SP/ 
nistspecial publication800-39. pdf 
NIST Special Publication 800-37. Guide for applying the risk management framework to 
federal information systems. http://csrc. nist. gov/publications/nistpubs/800-37-rev1/ 
sp800-37-rev1-final. pdf 
ISA. NIST cybersecurity framework core: informative reference standards. https://www. 
americanbar. org/content/dam/aba/administrative/law _ national | security/nistframework/ 
NIST % 20Cybersecurity % 20Framework ?6 20Core% 20-% 20ISA% 2062443-2-1-2009. 
authcheckdam. pdf 
NIST. Recommended security controls for federal information systems. https://www. 
nist. gov/ publications/ recommended-security-controls-federal-information-systems-0 
NIST. An industrial control system cybersecurity performance testbed. 2015. http: // 
nvlpubs. nist. gov/nistpubs/ir/2015/NIST. IR. 8089. pdf 


S55 美国 国家 科学 基金 会 


Un 


.1 美国 国家 科学 基金 会 简介 


美国 国家 科学 基金 会 (National Science Foundation ,NSF) 成 立 于 1950 年 ,其 宗 
是 振兴 美国 的 科学 事业 ,促进 美国 科学 事业 的 发 展 ,其 组 织 架 构图 如 图 5-1 所 
Io NSF 不 仅 按 学 科 建 立 了 各 种 委员 会 ,还 根据 研究 某 种 特殊 问题 的 需要 , 建 
立 了 一 些 特别 委员 会 。NSF 主要 通过 发 起 科学 与 工程 学 研究 项 目 , 资 助 科学 与 
工程 学 教育 中 的 某 些 活动 来 实现 其 宗旨 ,其 本 身 不 承担 任何 具体 的 研究 项 目 。 
通过 对 基础 研究 计划 的 资助 ,NSF 致力 于 改进 科学 教育 、 发 展 科 学 信息 和 增进 
国际 科学 合作 等 ,促进 美国 科学 的 发 展 。 基 金 会 自 1950 年 5 月 10 日 创建 以 来 ， 
在 促进 美国 科学 发 展 和 培养 科技 人 才 方 面 做 了 大 量 工 作 , 在 国内 外 科技 界 享有 
很 高 的 声誉 。 

NSF 主要 在 基础 研究 、 科 学 教育 ,应 用 研究 、 科 学 政策 、 国 际 合作 等 方面 组 
织 开 展 学 术 研 究 。 此 外 ,根据 国家 科学 基金 会 法 ,NSF 应 向 总 统 弟 两 份 报告 并 
呈送 国会 。 一 份 报告 是 每 年 一 度 的 “国家 科学 基金 会 年 度 报告 "(NSF Annual 
Report) 。 报 告 上 一 年 度 基 金 会 的 活动 状况 ; 另 一 份 报告 是 两 年 一 度 的 “科学 指 
ER” (Science Indictors) ,主要 报告 美国 的 科技 现状 。 

从 1995 年 至 今 ,NSF 先后 发 布 了 四 份 战略 规划 报告 ,分 别 是 4 处 于 世界 变 
幻 中 的 美国 国家 科学 基金 会 战略 规划 ;3 《美国 国家 科学 基金 会 (政府 业绩 与 成 
果 法 ?2001 一 2006 财 年 战略 规划 》2 《投资 美国 未 来 :美国 国家 科学 基金 会 
2006—2011 财 年 战略 规划 %s 和 《通过 发 现 与 创新 增强 国力 : 美国 国家 科学 基金 
会 2011 一 2016 财 年 战略 规划 》9 。 表 5-1 总 结 了 NSF 近年 来 的 战略 规划 。 


5.2 关键 基础 设施 安全 建设 


2012 年 9 月 25 日 ,NSF 投 资 5000 万 美元 资助 了 70 余 个 属于 NSF“ 安 全 与 
可 信 网 络 空间 (SaTC)? 的 项 目 , 旨 在 提高 操作 系统 .软件 、 硬 件 和 关键 基础 设施 
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表 5-1 NSF 战略 规划 总 览 表 
时 间 
ide 1995—2001 年 2001—2006 年 2006—2011 年 2011—2016 
NSF 希 费 美国 能 
eas 促进 探索 发 现 、 创 
为 国家 的 科学 、| 通过 探索 发 现 .| 新 和 教育 ,拓展 现 | 成 为 通过 科学 与 
数学 和 工程 的 发 | Z als 工程 的 新 观念 发 
愿景 ”| 教育 学 习 和 创新 , | 代 知识 疆域 ,助力 
展 培育 人 才 , 让 科 | 打造 美国 的 未 来 ”| 未 来 科学 和 工程 | 展 自我 、 引 领 世 
学 为 社会 服务 、 ”| 界 科研 与 教育 的 
的 发 展 
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的 弹性 ,保护 隐私 ,促进 可 用 性 ,并 确保 从 基础 研究 到 原型 部 署 的 可 信 度 呈 。 

2015 年 9 月 24 日 ,美国 自然 科学 基金 会 (NSF) 宣 布 投资 4000 万 美元 启动 自 
然 灾 害 工 程 基础 设施 研究 (Natural Hazards Engineering Research Infrastructure， 
NHERD 项 目 , 以 更 好 地 抵御 地 震 、 风 灾 和 水 灾 带 来 的 影响 。NHERI 主要 涉及 
网 络 基 础 设施 和 实验 设备 吕 。 

在 关键 基础 设施 领域 ,为 了 提高 美国 关键 基础 设施 的 恢复 力 并 增强 其 服务 
功能 ,2015 年 9 月 14 日 ,NSF 宣布 投入 2000 万 美元 用 于 研究 如 何 改 善 基础 设 
施 系统 , 即 “ 重 要 基础 设施 和 过 程 的 弹性 相互 依赖 ”(Critical Resilient 
Interdependent Infrastructure Systems and Processes，CRISP) 。 该 项 目的 目标 
是 从 物理 到 网 络 应 急 响 应 角度 来 开展 基础 设施 设备 和 系统 的 基础 研究 ,对 基础 
设施 进行 新 的 理解 和 认识 ,结合 建 模 和 智能 技术 的 进步 ,不 断 提高 系统 的 韧性 ， 
在 创造 更 高 的 恢复 能 力 方面 得 以 实现 突破 性 的 发 现 " 。 


5.3 CRISP 项 目 介 绍 


该 项 目 在 2015 年 资助 了 12 个 课题 。CRISP 的 研究 者 将 从 设计 和 性 能 评估 
的 角度 出 发 ,研究 在 自然 灾害 、 技 术 或 人 为 误 操作 等 故障 或 者 系统 失效 的 情况 
下 ,如何 保证 这 些 存 在 相互 依赖 关系 的 关键 基础 设施 系统 仍 能 够 快速 恢复 并 正 
常 运行 。 这 些 研 究 工作 将 促进 关键 基础 设施 系统 的 更 新 换代 和 创新 设计 与 实 
验 。 通 信 、 电 力 和 水 能 源 的 供应 ,以 及 其 他 社区 基础 设施 的 支持 服务 能 力 将 被 大 
大 加 强 , 而 且 这 些 系统 的 运行 也 将 变 得 更 加 稳定 持续 和 安全 。 


5.3.1 总 体 目 标 


研究 目标 : 

(1) 在 运行 与 服务 方面 ,为 基础 设施 的 设计 与 操作 提供 新 的 技术 路 径 、 解 决 
方案 。 

(2) 增强 对 相互 依赖 的 关键 基础 设施 (Interdependent Critical Infrastructure. 
ICD 系统 与 过 程 的 认识 与 设计 ,为 任何 原因 导致 的 系统 中 断 / 失 败 / 干 扰 提 供 必 
要 的 应 急 物 资 与 服务 。 

(3) 为 ICI 的 革新 提供 理论 支撑 ,安全 、 有 效 地 扩大 ICI 所 能 提供 的 服务 


(4) 在 ICI 现 有 的 产品 与 服务 方面 ,不 断 提高 其 有 效 性 、 可 靠 性 及 运行 


研究 内 容 : 
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(1) 通过 提出 新 的 知识 方法、 解决 方案 来 增强 ICT 系统 的 弹性 、 性 能 、 应 急 


响应 能 力 。 


(2) 为 ICI 的 系统 流程 与 服务 创建 框架 与 多 学 科 模 型 ,对 复杂 的 行为 进行 
分 析 预 测 ,能 够 实时 控制 ,动态 适应 .重新 配置 ,响应 系统 和 政策 的 变化 。 

(3) 为 物理 网络、 社会 行为 和 经 济 等 ICT 元 素 开 发 框架 ,以 对 各 基础 设施 
间 的 相互 依赖 关系 进行 分 析 。 

(4) 对 组 织 .社会 ,心理 法律 、 经 济 、 技 术 等 方面 的 障碍 进行 分 析 理 解 , 为 
ICI 创建 识别 策略 ,提高 ICI 网 络 安全 攻击 应 对 能 力 。 


5.3.2 课题 介绍 


CRISP 项 目 课 题 类 别 分 成 工 类 和 开 类 两 种 上 ,其 中 工 类 课题 资助 事件 为 3 
年 ,最 高 50 万 美元 ,下 类 课题 资助 事件 为 3 一 4 年 ,最 高 为 100 万 一 200 万 美元 。 
两 类 课题 一 共 资 助 了 12 个 课题 。 课 题 基本 信息 如 表 5-2 所 示 。 


表 5-2 CRISP 课题 基本 信息 表 


序号 项 目 名 称 项 目 周期 经 费 /美元 负责 人 承担 单位 
A : 利 
TREA ne si Kash Barker University of 
1 RIE E RIOT. Mini 1 381 958.00 | (kashbarker@ Oklah 
法 ,增强 相互 依存 | 2018. 9. 30 T js a : id 
网 络 的 弹性 ou. edu Norman Campus 
对 相互 依赖 系统 Paolo Bocchini 
2015. 9. 1— s Lehigh 
2 | 进行 概率 性 的 弹 1903 209. 00 | (paolo. bocchini@ 2. 
: 2018. 8. 31 j University 
性 评估 lehigh. edu) 
对 几 十 年 来 针对 关 Ross Baldick 
2016. 1. 1— Universi f 
3 | 键 基础 设施 的 攻击 | ?018 1》 31 | 98357.00 Cpaldick@ | M 
li bd R S S 
进行 分 析 学 习 ece, utexas. edu) ini 
人 口 基础 设施 的 
联系 :开发 一 个 基 P iini 
ennsyivania 
于 数据 流 的 多 样 | 2016.1.1 一 | . Guangaing Chi ni 
4 150 000. 00 n State Univ 
化 方法 ,对 ICI A | 2018.12. 31 (gchi@ psu. edu) Mese IE 
统 的 中 断 响 应 at niversity ar. 
行 分 析 
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续 表 
序号 项 目 名 称 项 目 周期 经 费 / 美 元 负责 人 承担 单位 
通过 进化 来 改革 ， Andrea Mammoli 
é 改善 社会 与 电力 | 2015. 9. 15— — ^ id University of 
的 交互 作用 的 控 | 2018.8.31 ' ia ie New Mexico 
制 方法 unm, edu 
基于 仿真 的 假设 
7 o X Miles 
检验 对 使 用 分 布 2015. 10. 1 一 Sept iles University of 
6 式 优 化 与 自然 语 2019.39.36 1 208 929. 00 (milessb@ Wahai 
言 处 理 的 社会 技 uw. edu) — 
术 社 区 进行 分 析 
开发 相互 依存 的 Manuel Rodriguez- re 
7 电气 和 云 服务 , 建 |2015. 9. 15 一 1 499 988. 00 Martinez( manuel, aid " 
立 可 持续 .可靠 、| 2018.8.31 rodriguez7@ hes aaa 
ayaguez 
开放 的 智能 电网 upr edu) dis 
多 尺度 下 基础 设施 T 
在 突 发 事件 中 的 交 12015.10.1 - Mark Stacey University of 
8 ere š 1 879 485. 00 (mstacey@ California- 
互 :沿海 防洪 .交通 | 2019.9. 30 keley, EDU) Berkel 
和 治理 网 络 Berkeley. EDU erkeley 
Virginia 
2016. 1. 1— Walid Saad Polytechnic 
2 弹性 智慧 城市 2019. 12.1 ce (walids@vt. edu)| Institute and 
State University 
建立 多 尺度 建 模 
框架 ,对 弹性 、 相 2015.9. 1— Iris Tien Georgia 
10 | 互 依赖 的 关键 基 ane S si 499 920. 00 Citien(? ce. TechResearch 
础 设施 系统 进行 piss gatech. edu) Corporation 
评估 和 控制 
弹性 、 网 络 化 的 电 
| | 
11 | 础 设施 :在 极端 超 2018.7.31 | 1 4/8907. 00 (vijay. vittal@ Daven 
级 干旱 场景 下 进 m — duy niversity 
行 建 模 与 控制 
E 
Eu aiitem |. Quenyen Ro | Nee York 
12 | 依赖 的 关键 基础 0 500 000. 00 | (quanyan. zhu@ oe 
设施 的 弹性 . 0. nyu. "S niversity 
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1. 利用 数据 驱动 的 方法 ,增强 相互 依存 网 络 的 弹性 Do 


(Resilience Analytics: A Data-Driven Approach for Enhanced Interdependent 
Network Resilience) 

负责 人 : Kash Barker (University of Oklahoma (OU)) 

参与 人 : James Lambert (University of Virginia), Laura McLay (University of 
Wisconsin-Madison), Charles Nicholson( University of Oklahoma( OU)), Jose 
Ramirez-Marquez (Stevens Institute of Technology) 

NSF 提供 资金 : $1 381 958. 00 

课题 类 型 和 时 间 周 期 : CRISP ID 38,2015. 10. 15—2018. 9. 30 

课题 简介 : 近 几 年 由 自然 灾害 所 引发 的 具有 连带 效应 的 破坏 性 事件 给 管理 
安全 事件 和 编制 应 急 预 案 提 出 了 新 的 挑战 。 其 中 ,具有 连带 效应 的 安全 事件 会 
给 相互 依存 的 不 同系 统 和 网 络 带 来 致命 的 破坏 。 理 解 这 些 系统 之 间 的 关联 关 
系 , 找 出 可 能 存在 安全 隐患 的 薄弱 衔接 环节 ,并 进行 重点 防护 ,将 有 助 于 提高 系 
统 对 安全 事件 的 应 急 响 应 和 恢复 能 力 。 目 前 ,社交 媒体 提供 了 社区 网 络 ( 如 亲朋 
好 友 、 邻 居 ) ,物理 基础 设施 网 络 ( 如 交通 .电网 ) ,应 急 服务 网 络 ( 如 应 急 响 应 服务 
KG 修复 人 员 ) 等 方面 的 海量 数据 。 这 些 数据 有 利于 研究 人 员 分 析 理 解 不 同系 
统 和 网 络 之 间 的 相互 依赖 关系 ,进而 研究 如 何 消除 不 同系 统 和 网 络 之 间 的 脆弱 
性 ,提高 系统 和 网 络 的 恢复 力 。CSIRP 项 目 整合 了 工程 ,计算 机 科学 和 社会 科 
学 等 多 个 学 科 专 业 科 研 人 员 ,以 不 同 视角 进行 合作 研究 ,通过 数据 驱动 的 方式 来 
提高 系统 和 网 络 的 恢复 力 。 本 课题 拟 研究 如 何 利 用 数据 驱动 的 方式 来 理解 系统 
弹性 的 含义 。 即 在 自然 灾害 事件 发 生 之 前 、 之 中 和 之 后 ,统计 分 析 网 络 和 系统 的 
运行 状态 和 行为 模式 ;更 有 效 地 解决 网 络 和 系统 的 脆弱 性 问题 , 当 自 然 灾 害 事件 
发 生 后 ,提高 网 络 和 系统 的 应 急 响 应 和 恢复 能 力 。 

本 课题 有 两 个 研究 内 容 。 

(1) 创建 一 个 关于 基础 设施 网 络 , 基 础 设施 网 络 提供 服务 的 社区 网 络 和 应 
急 响应 服务 网 络 之 间 相 互 依赖 性 的 网 络 模 型 。 本 项 目 将 研究 社区 网 络 恢复 力 和 
基础 设施 网 络 性 能 之 间 的 功能 关系 。 

(2) 将 研究 内 容 一 所 建立 的 网 络 模 型 与 社区 网 络 数 据 综合 起 来 ,建立 一 个 
更 有 助 于 理解 和 规划 网 络 和 系统 的 恢复 力 的 数据 分 析 框架 。 


2. 对 相互 依赖 系统 进行 概率 性 的 弹性 评估 J 


(Probabilistic Resilience Assessment of Interdependent Systems) 
负责 人 : Paolo Bocchini (Lehigh University) 
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参与 人 : Brian Davison, Alberto Lamadrid. Richard Sause and Lawrence Snyder 

NSF 提供 资金 : $1903 209. 00 

课题 类 型 和 时 间 周 期 : CRISP [] 28.2015. 9. 1—2018. 8. 31 

课题 简介 : 当 破 坏 性 的 极端 自然 灾害 事件 (如 地 震 或 严重 的 风暴 ) 发 生 之 
后 , 受 影响 地 区 的 基础 设施 系统 的 应 急 和 恢复 直接 决定 了 社会 经 济 的 复苏 和 发 
展 。 电 力 和 供水 系统 .交通 网 络 .通信 系统 和 关键 建筑 在 应 对 灾害 的 过 程 中 担任 
着 主要 角色 。 如 果 这 些 基础 设施 无 法 从 中 断 中 及 时 恢复 的 话 ,那么 社会 和 经 济 
就 会 遭受 巨大 的 损失 。 本 课题 汇集 了 土木 工程 、 系 统 工程 .计算 机 科学 .经济 学 、 
城市 规划 和 政策 制定 等 不 同 领域 的 科研 学 者 。 本 课题 目的 是 当 发 生 复杂 极端 事 
件 后 ,在 不 确定 性 条 件 下 ,通过 综合 考虑 独立 基础 设施 系统 模型 和 不 同系 统 相互 
依赖 性 模型 特点 ,建立 一 个 衡量 相互 依赖 系统 恢复 力 的 评价 框架 。 

本 课题 拟 搭建 一 个 称 为 "PRAISys”(Probabilistic Resilience Assessment of 
Interdependent Systems ,相互 依存 的 系统 概率 性 评估 ) 的 平台 ,通过 概率 分 析 方 
法 ,分 析 相 互 依赖 模型 的 所 有 影响 因素 ,分 析 模 型 的 不 确定 性 并 加 以 分 类 ,利用 
数学 和 计算 工具 来 捕 提 模型 的 特点 。 本 课题 拟 通过 搭建 、 验 证 和 分 析 PRAISys 
平台 ,为 基础 设施 网 络 设 计 和 管理 提供 更 有 效 的 分 析 方 法 ,以 此 来 应 对 极端 事件 
和 系统 故障 问题 ,防止 发 生 灾难 性 的 人 身 伤亡 ,防止 极端 事件 给 社会 经 济 和 环境 
带 来 长 久 的 破坏 影响 。 


3. 对 几 十 年 来 关于 关键 基础 设施 的 攻击 进行 分 析 学 习 03 


(Lessons Learned from Decades of Attacks against Critical Interdependent 
Infrastructures) 

负责 人 : Ross Baldick( University of Texas at Austin) 

NSF 提供 资金 : $98 357. 00 

课题 类 型 和 时 间 周 期 : CRISP 工 类 ,2016. 1. 1 一 2018. 12. 31 

课题 简介 : 相互 依赖 的 关键 基础 设施 (如 电网 、 供 水 和 交通 等 大 规模 系统 ) ， 
为 现代 生活 提供 最 基本 的 日 常服 务 。 之 前 对 这 些 基础 设施 的 保护 都 集中 在 防止 
意外 事故 造成 的 物理 破坏 上 ,但 是 现在 对 于 基础 设施 的 防护 则 不 仅 关 注 物理 防 
PF ,而 且 还 注重 网 络 安全 防护 。 本 课题 针对 哥伦比亚 50 年 以 来 关键 基础 设施 遭 
受 的 攻击 事件 进行 分 析 ,并 总 结 成 功 实践 和 经 验 教 训 , 汇 总 技术 解决 方案 。 通 过 
开展 本 项 目 , 国 家 能 够 更 好 地 理解 威胁 的 性 质 , 并 且 公 共和 私营 部 门 也 能 够 更 好 
地 开展 态势 感知 与 安全 保护 工作 。 
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4. 人 口 基 础 设施 的 联系 : 开发 一 个 基于 数据 流 的 多 样 化 方法 ,对 ICI 系统 
的 中 断 响应 进行 分 析 09 


(Population-Infrastructure Nexus: A Heterogeneous Flow-Based Approach for 
Responding to Disruptions in Interdependent Infrastructure Systems) 

负责 人 : Guangqing Chi (Pennsylvania State University) 

NSF 提供 资金 : $150 000. 00 

课题 类 型 和 时 间 周 期 : CRISP 工 类 ,2016. 1. 1 一 2018. 12. 31 

课题 简介 : 降低 关键 基础 设施 系统 的 不 稳定 性 和 脆弱 性 ,有 助 于 提高 整个 
社会 的 运行 效率 与 弹性 。 灾 难 性 事件 (如 2003 年 的 东北 部 大 停电 和 2012 4E JE 
风 桑 迪 ) 可 以 给 ICI 系统 (如 电力 网 络 、 燃 料 供 应 和 运输 系统 ) 带 来 严重 的 破坏 。 
这 些 破坏 给 基础 设施 系统 的 各 个 组 件 的 应 急 响 应 能 力 提出 了 严峻 的 挑战 。 而 
且 , 当 受 破坏 地 区 的 人 口 发 生 剧烈 变化 时 (如 地 区 短 时 间 内 聚集 了 许多 人 ) ,基础 
设施 系统 的 应 急 响 应 恢复 就 会 变 得 更 有 难度 。 本 课题 的 目的 就 是 在 各 种 破坏 
(包括 操作 的 不 确定 性 和 灾难 性 的 破坏 ) 情 况 下 ,提高 ICI 系统 的 弹性 。 

本 课题 研究 目的 是 设计 一 个 分 布 式 异 构 的 基于 流程 的 建 模 框架 ,以 量化 评 
估 ICI 系 统 和 人 口 群 体 之 间 复 杂 的 依赖 关系 。 框 架 也 将 用 来 分 析 短 期 人 口 流动 
行为 和 长 期 的 人 口 发 展 对 基础 设施 的 影响 。 

本 课题 拟 实现 以 下 目标 : 

(1) 量化 不 同人 口 群 体 与 多 个 基础 设施 的 关联 关系 。 

(2) 描述 相互 连接 的 不 同 基 础 设施 系统 之 间 的 依赖 关系 。 

(3) 人 口 与 不 同 的 基础 设施 通过 网 络 平台 进行 人 机 交互 ,形成 一 个 自 组 织 
的 分 布 式 系统 ,对 该 系统 中 的 人 口 - 基 础 设施 系统 进行 建 模 和 优化 分 析 。 

(4) 分 析 对 人 口 -基础 设施 系统 模型 的 均衡 点 和 稳定 性 。 

本 课题 预期 成 果 包 括 : 

(1) 通过 建立 一 个 基于 异 构 网 络 数 据 流 的 建 模 方法 来 定义 不 同 相互 依赖 基 
础 设施 系统 的 动态 变化 和 均衡 特性 。 

(2) 基于 建立 的 人 口 -基础 设施 系统 模型 ,提供 分 析 人 口 群 体 和 基础 设施 系 
统 之 间 的 双向 影响 关系 功能 。 

(3) 建立 的 人 口 -基础 设施 系统 模型 将 融入 基于 自 组 织 群体 智能 的 分 布 式 
网 络 通信 平台 中 ,以 此 支持 人 口 和 基础 设施 系统 交换 信息 ,进而 实现 行动 自 


ab 
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5. 通过 进化 来 改革 :改善 社会 与 电力 的 交互 作用 的 控制 方法 中 


(Revolution through Evolution: A Controls Approach to Improve How 
Society Interacts with Electricity) 

负责 人 : Andrea Mammoli (University of New Mexico (UNM)) 

参与 人 : Majeed Hayat and Francesco Sorrentino (University of New 
Mexico (UNM)) 

NSF 提供 资金 : $1409 942. 00 

课题 类 型 和 时 间 周 期 : CRISP [] 28,2015. 9. 15—2018. 8. 31 

课题 简介 : 该 课题 由 在 研究 与 电网 的 快速 发 展 相 适应 的 高 度 分 布 式 基础 设 
施 中 的 相关 挑战 问题 。 本 研究 的 重点 是 配 电 馈线 的 变换 ,具体 范围 包括 为 客户 
提供 电力 ,建立 分 布 式微 型 电网 实体 ,积极 管理 本 地 电能 的 生产 、 存 储 和 使 用 。 
分 布 式微 型 电网 分 布 结合 了 传统 电网 的 优势 和 新 兴 的 分 布 式 技术 的 优势 。 该 项 
目 将 针对 发 电 和 交付 、 信 息 流动 市场 规 划 和 人 类 行为 等 因素 来 建立 基于 社会 与 
电力 交互 作用 的 控制 模型 。 基 于 建立 的 模型 ,政策 制定 者 可 以 规划 由 分 布 式微 
型 电网 来 实现 清洁 能 源 的 过 程 。 

本 课题 拟 使 用 哈密 顿 表 面 成 形 功率 流 控 制 理论 ,达到 一 个 最 优 带 宽 .存储 性 
能 和 信息 设计 的 非 线性 控制 器 ,以 此 检测 恶意 算 改 信息 流行 为 。 在 紧急 系统 动 
力学 方面 ,本 课题 拟 使 用 动态 复杂 网 络 理论 ,探索 限制 人 类 行为 和 市 场 稳定 性 的 
函数 设计 。 最 后 ,在 如 何 增 强 可 控 性 的 影响 配 电 系统 鲁 棒 性 的 大 型 能源- 信息- 
社会 ”网 络 中 ,本 课题 拟 使 用 相互 依存 的 马尔 可 夫 链 模型 分 析 。 


6. 基于 仿真 的 假设 检验 ,对 使 用 分 布 式 优化 与 自然 语言 处 理 的 社会 技术 社 
区 进行 分 析 09] 

(Simulation-Based Hypothesis Testing of Socio-Technical Community 
Resilience Using Distributed Optimization and Natural Language Processing) 

负责 人 : Scott Miles. Mehran Mesbahi (University of Washington) and 
Noah Smith (Carnegie Mellon University) 

参与 人 : Leonardo Duenas Osorio (Rice University) 

NSF 提供 资金 : $1208 929. 00 

课题 类 型 和 时 间 周 期 : CRISP ID 3.2015. 10. 1—2019. 9. 30 

课题 简介 : 本 课题 有 三 个 主要 研究 目标 : 

(1) 系统 地 思考 关键 基础 设施 的 社会 和 技术 系统 。 
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(2) 建立 计算 机 仿真 模型 来 探索 关键 基础 设施 性 能 。 

(3) 测试 关键 基础 设施 的 韧性 ,以 支持 社会 技术 社区 的 各 种 需求 。 

关键 基础 设施 (如 电力 制造、 金融 系统 ) 是 社会 功能 和 社区 健康 的 核心 单 
元 。 本 课题 拟 通过 改进 关键 基础 设施 的 设计 和 管理 方法 ,提高 基础 设施 在 自然 
灾害 和 人 为 破坏 事件 中 的 系统 弹性 。 本 课题 拟 重点 关注 不 同 基 础 设施 的 社会 和 
技术 关系 ,深入 研究 社会 因素 对 关键 基础 设施 的 影响 ,以 及 关键 基础 设施 在 促进 
社区 发 展 过 程 中 所 发 挥 的 作用 。 课 题 组 拟 使 用 自然 语言 处 理 (natural language 
processing, NLP) 来 分 析 文本 数据 ,描述 关键 基础 设施 性 能 和 社会 适应 力 , 以 及 
基础 设施 技术 与 社会 之 间 的 关系 。 


7. 融合 电气 和 云 服务 ,建立 可 持续 、 可 靠 、 开 放 的 智能 电网 "1"] 


(Interdependent Electric and Cloud Servies for Sustainable, Reliable, and 
Open Smart Grids) 

负责 人 : Rajiv Ramnath 

参与 人 : Manuel Rodriguez-Martinez. Marla Perez-Lugo，Fabio Andrade. 
Rafael Rodriguez. Efrain O’Neill-Carrillo 

NSF 提供 资金 : $1499 988. 00 

课题 类 型 和 课题 周期 CRISP I 28,2015. 9. 15—2018. 8. 31 

课题 简介 : 在 本 课题 中 为 智能 电网 建立 一 套 电力 和 云 服务 相互 交融 的 模 
型 ,这 种 交融 模型 使 得 电力 系统 和 云 协同 互动 ,从 而 帮助 管理 智能 电网 。 所 有 的 
电力 服务 (如 能 源 .存储 `. 计 费 ) 会 作为 基于 REST 的 云 服务 向 用 户 开放 ,使 得 电 
力 供应 商 和 用 户 可 以 使 用 和 订阅 电力 服务 ,收集 操作 数据 和 用 户 反馈 ,并 且 支 持 
分 析 预 测 电 力 需 求 。 微 型 电网 和 可 再 生 能 源 系 统 是 这 个 框架 的 重要 组 成 部 分 ， 
它们 使 模块 化 的 电网 变 为 独立 或 半 独 立 的 子 系统 。 研 究 小 组 将 开发 方法 可 靠 的 
电力 微型 电网 映射 到 电力 服务 ,可 以 迅速 把 在 线 弥补 发 电容 量 或 获得 更 多 廉价 
的 能 源 。 

“微型 智能 电网 ”系统 的 主要 挑战 对 可 再 生 能 源 的 可 用 性 进行 预测 ,通过 开 
发 太阳 能 和 风能 产 出 评估 服务 的 跟踪 框架 ,以 及 提高 当地 传感器 的 测定 要 求 ,以 
此 改善 短期 预测 服务 。 团 队 将 社会 认可 的 模型 应 用 到 智能 电网 的 开发 、 实 施 、 管 
理 和 评价 当中 ,以 此 为 服务 商 与 用 户 提供 一 套 可 持续 、 可 靠 . 开 放 的 智能 电网 系 
统管 理 和 考核 。 
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8. 多 尺度 下 基础 设施 在 突 发 事件 中 的 交互 :沿海 防洪 、 交 通 和 治理 网 络 [1 引 


(Collaborative Research: Multi-Scale Infrastructure Interactions with 
Intermittent Disruptions: Coastal Flood Protection, Transportation and 
Governance Networks) 

负责 人 : Bruce K. Hamilton 

参与 人 : Mark Lubell，Davis 

NSF 提供 资金 : $575 000. 00 

课题 类 型 和 课题 周期 CRISP II 25.2015. 10. 1—2019. 9. 30 

课题 简介 : 对 沿海 社区 洪水 威胁 的 理解 需要 整合 气候 科学 沿海 海洋 和 水 
动力 学 .交通 工程 .计划 和 政治 科学 。 在 此 CRISP 项 目 中 ,需要 对 这 些 学 科 进 行 
整合 ,以 此 定义 网 络 结构 。 目 的 是 在 沿海 区 域 洪水 事件 中 研究 基础 设施 和 治理 
网 络 在 多 尺度 下 的 相互 作用 。 通 过 使 用 最 先进 的 水 动力 模型 ,对 由 于 海平 面 上 
升 海洋 水 位 波动 (包括 潮汐 、 降 水 和 径流 ) 造 成 的 洪水 事件 进行 预测 ,并 以 此 决 
定 基础 设施 的 位 置 ,建立 交通 基础 设施 与 区 域 治 理 网 络 。 

本 课题 对 三 个 基础 设施 网 络 之 间 的 交互 (海岸 线 、 运 输 和 治理 ) 进 行 定量 
析 , 建 立 拓扑 结构 和 数据 流 。 通 过 研究 基础 设施 系统 中 沿海 洪灾 的 现实 问题 ,从 
而 对 沿海 防洪 、 交 通 和 治理 网 络 的 建立 与 决策 进行 指导 。 


9. 弹性 智慧 城市 


(Collaborative Research: Towards Resilient Smart Cities) 

负责 人 : Rajiv Ramnath 

参与 人 : Narayan Mandayam, Arnold Glass and Janne Lindqvist, Rutgers 
University at New Brunswick 

NSF 提供 资金 : $916 000. 00 

课题 类 型 和 课题 周期 : CRISP I| 25.2016. 1. 1 一 2019. 12. 31 

课题 简介 : 实现 真正 的 智能 城市 是 未 来 十 年 内 最 紧迫 的 技术 挑战 之 一 。 这 
一 愿景 的 实现 需要 协同 集成 的 物理 -网 络 系统 ,如 智能 交通 、 无 线 通信 系统 、 水 
网 .电网 等 集成 到 一 个 统一 的 智能 城市 中 去 。 但 是 这 会 存在 很 大 的 隐患 ,为 了 应 
对 日 常 运作 、 自 然 灾 害 和 恶意 攻击 等 可 能 造成 的 系统 故障 ,人 研究 将 引入 一 个 基本 
分 析 框 架 , 利 用 城市 CIs 之 间 的 协同 效应 产生 的 弹性 资源 管理 计划 认识 和 技术 。 
此 框架 通过 结合 跨 学 科 领 域 研究 ,有 如 下 一 系列 进展 : 

CD 通过 严谨 的 数学 工具 (图 论 工具 、 力 量 指数 、 机 器 学 习 和 随机 空间 模型 
等 ) 方 式 , 描 述 ICI 之 间 的 相互 依赖 关系 ; 
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(2) 通过 使 用 弹性 的 资源 管理 机 制 和 先进 的 框架 ,优化 因 面 临 不 同 智能 水 
平 代理 的 CI 资源 的 管理 ; 

(3) 智慧 城市 居民 和 CIs 之 间 信 任 关 系 的 行为 模型 ; 

(4) 为 影响 用 户 的 基础 设施 系统 提供 指导 ,提高 基础 设施 的 弹性 ; 

C5) 对 大 规模 智能 城市 进行 模拟 ,并 进行 现实 的 实验 ,形成 理论 与 实践 之 间 
的 桥梁 。 

10. 建立 多 尺度 建 模 框 架 ,对 弹性 、 相 互 依赖 的 关键 基础 设施 系统 进行 评估 
fo dg 4] aa 


(Multi-Scale Modeling Framework for the Assessment and Control of 
Resilient Interdependent Critical Infrastructure Systems) 

负责 人 : M. Mimi McClure 

参与 人 : Iris Tien (Georgia Institute of Technology) . Seymour Goodman 
and Calton Pu (Georgia Institute of Technology) 

NSF 提供 资金 : $ 499 920.00 

课题 类 型 和 课题 周期 CRISP 工 类 ,2015. 9. 1 一 2018. 8. 31 

课题 简介 :本 课题 将 采取 多 学 科 交 叉 的 方法 ,结合 工程 计算 和 相关 的 政策 来 
创建 一 个 强大 的 利益 驱动 模型 框架 ,并 多 尺度 和 以 跨 数据 源 的 角度 去 刻画 ICIs 
(interdependent critical infrastructures) ,以 此 来 评估 基础 设施 的 现状 ,对 其 性 
能 和 可 靠 性 进行 预测 。ICIs 对 我 们 的 社会 .健康 、 安 全 和 我 们 的 国家 安全 十 分 重 
要 。 这 些 系统 由 许多 相互 依赖 的 组 件 构成 。 此 外 ,这 些 系 统 是 相互 依存 的 ,一 个 
系统 的 性 能 依赖 于 一 个 或 多 个 其 他 系统 的 性 能 。 这 让 ICIs 容易 受到 各 种 各 样 
的 危害 ,包括 自然 的 和 人 为 的 。 

本 课题 将 研究 如 何 提 高 这 些 系统 的 弹性 ,研究 人 员 将 研究 ICIs 系统 ,特别 
是 交通 .电力 .通信 基础 设施 ,并 在 城市 与 农村 这 两 个 不 同 环境 中 应 用 ICIs HE 
BR ,并 进行 评估 ,使 弹性 基础 设施 管理 系统 能 够 反应 .适应 ,甚至 主动 采取 预防 行 
动 , 以 应 对 即将 到 来 的 灾难 。 

此 课题 的 研究 结果 也 将 集成 到 更 加 广阔 的 课堂 教学 和 教育 科研 领域 的 活 
动 ,培养 下 一 代 在 关键 基础 设施 恢复 起 着 重要 作用 的 科学 家 工程 师 和 决策 者 ， 
以 及 开发 用 来 实现 弹性 系统 和 快速 恢复 的 新 的 多 学 科 方 法 和 各 种 工具 。 


11. 弹性 、 网 络 化 的 电能 和 配水 系统 基础 设施 : 在 极端 超级 干旱 场景 下 进行 
建 模 与 控制 [2 
(Resilient Cyber-Enabled Electric Energy and Water Infrastructures: 


Modeling and Control under Extreme Mega Drought Scenarios) 


zb 
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负责 人 : Bruce K. Hamilton 

参与 人 : Vijay Vittal (Arizona State University). Virginia Kwan. Larry 
Mays and Junshan (Arizona State University) 

NSF 提供 资金 : $1478 907. 00 

课题 类 型 和 课题 周期 CRISP I] 38.2015. 8. 1—2018. 7. 31 

课题 简介 : 弹性 .可靠 和 高 效 的 关键 基础 设施 对 现代 社会 的 繁荣 进步 至 关 
重要 。 电 网 和 水 利 系 统 都 是 关键 基础 设施 ,它们 是 由 大 量 的 传感器 .通信 资源 、 
控制 和 信息 系统 组 成 的 高 度 自 动 化 和 相互 依存 的 系统 网 络 。 

该 课题 将 开发 一 个 基于 两 个 ICI. 系统 (电力 系统 与 供水 系统 ) 的 数学 模型 ， 
并 识别 两 个 系统 之 间 的 相互 依赖 关系 。 研 究 的 总 体 目标 是 将 相互 依赖 但 独立 运 
营 的 基础 设施 系统 ,通过 有 效 的 信息 交换 ,使 其 可 以 对 极端 场景 下 可 能 出 现 的 情 
况 进 行 分 析 处 理 。 包 括 以 下 研究 和 教育 任务 : 

(1) 基于 系统 动力 学 的 数学 模型 开发 相互 依赖 的 基础 设施 ,包括 电力 基础 
设施 .水利 基础 设施 ,识别 其 相互 依赖 关系 ,对 相互 依赖 的 系统 进行 模拟 。 

(2) 极端 的 情况 下 ,建立 社会 /行为 模型 应 急 选 择 和 分 析 消 费 者 需求 的 商 
品 ,提供 在 极端 的 情况 下 的 基础 设施 行为 模型 ,相互 依赖 系统 的 风险 评估 和 应 
急 选 择 极端 的 场景 ,建立 在 极端 的 情况 下 和 相关 的 突 发 事件 分 析 模 型 。 

C30 对 部 署 了 网 关中 间 件 的 网 际 网 路 基础 设施 信息 系统 进行 优化 ,中 间 件 
开发 和 建 模 ,实现 信息 和 控制 的 共享 。 


12. 改善 多 尺度 相互 依赖 的 关键 基础 设施 的 弹性 [3 


(Reductionist and Integrative Approaches to Improve the Resiliency of 
Multi-Scale Interdependent Critical Infrastructure) 

负责 人 : Chu-Hsiang Chang 

参与 人 : Quanyan Zhu (New York University). Nasir Memon, Kaan 
Ozbay and Rae Zimmerman (New York University) 

NSF 提供 资金 : $500 000. 00 

课题 类 型 和 课题 周期 : CRISP I 38,2015. 9. 1—2018. 8. 31 

课题 简介 : 目前 ,关键 基础 设施 的 发 展 日 趋 多 元 化 ,相互 联系 越 来 越 紧密 。 
由 于 网 络 -物理 、 地 理 、 供 需 关 系 、 人 机 交互 等 因素 造成 的 基础 设施 之 间 的 相互 依 
赖 关 系 也 日 趋 复杂 。 该 课题 着 重 于 研究 这 四 种 基本 类 型 相互 依赖 关系 的 特点 ， 
而 一 体 化 方法 使 用 它们 作为 构建 块 ,并 以 此 建立 一 个 整体 的 网 络 框架 来 再 现 基 
础 设施 系统 的 相互 依赖 关系 。 
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这 种 自 底 向 上 的 方法 提供 了 一 种 系统 的 方法 来 生成 一 个 集成 和 多 尺度 系统 
的 视图 系统 ,识别 和 定量 表征 通过 反馈 回路 的 相互 依赖 关系 。 这 个 项 目的 总 体 
目标 是 提高 相互 依赖 的 基础 设施 的 弹性 ,使 其 能 够 在 一 个 可 接受 的 时 间 和 成 本 
内 ,从 破坏 性 事件 和 干扰 中 恢复 。 


5.4 小 结 


本 章 介绍 了 美国 国家 自然 基金 在 关键 基础 设施 安全 方面 设立 的 科研 项 目 ， 
首先 以 "重要 基础 设施 和 过 程 的 弹性 相互 依赖 ?项 目 为 例 , 介 绍 了 美国 国家 自然 
基金 在 该 领域 的 科研 布局 。 然 后 分 别 介绍 了 “重要 基础 设施 和 过 程 的 弹性 相互 
依赖 ?项 目下 的 12 个 课题 的 基本 情况 。 
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6.1 美国 国防 高 级 研究 计划 局 简介 


隶属 于 美国 国防 部 的 美国 国防 高 级 研究 计划 Jey (Defense Advanced 
Research Projects Agency,DARPA) 成 立 于 1958 年 2 月 ,主要 针对 中 、 远 期 国家 
安全 需求 来 研制 具有 军事 价值 的 前 沿 高 新 技术 ,并 为 军 方 的 重大 预 研 项 目 工作 
提供 技术 指导 和 管理 。 

DARPA 的 组 织 架 构 如 图 6-1 所 示 。 在 国防 部 领导 下 的 DARPA 局 长 办 公 
室 管辖 着 生物 技术 、 国 防 科学 ,信息 创新 、 微 系统 技术 、 战 略 技 术 、 战 术 技 术 , 行 政 
和 航空 航天 项 目 办 公 室 。 


国防 部 (DoD) 
DARPA 局 长 办 公 室 
技术 管理 办 公 室 
Y Y Y 1 Y Y Y 
生物 技术 办 | | 国防 科学 办 | | 信息 创新 办 | | 微 系统 技术 | | 战略 技术 办 | 。 | 战术 技术 办 | 。 | 行政 办 公 室 | | 航空 及 天 项 目 
公 室 (BTO) | | 公 室 (DSO) | | 4020) | | 办 公 室 MTO)| | 公 室 (STO) | | 公 室 (TTO) (AEO) | | 办 公 室 (APO) 


i ! i t i i 


战场 用 药 感知 技术 空间 传感器 | 空中 空间 、 à 
Bow || "NET kwtrwaw] 电子 学 [PSMA erue | 条 和 天 全 
CURA 生物 | ERREUR OCTO || 地 下 设施 探测 | | 无 人 系统 | | 合同 管理 办 公 室 
神经 工程 系统 i 高 速 计算 。 || 伍 机 电 系统 算法 | MEE |) 空间 作战 | [PES 
病原 体 捕食 者 | | eyii || 传感器 技术 | 集成 微 系统 | NPE || 激光 系统 sb 
神经 接口 技术 信息 处 理 技术 Fred = 


图 6-1 DARPA 组织 架 构 


l. 战术 技术 办 公 室 


Ws A 


战术 技术 办 公 室 (Tactical Technology Office. TTO) 的 主要 职责 是 ,为 了 占 
据 对 手 无 法 实现 的 非 对 称 新 型 军事 技术 优势 ,在 最 短 时 间 内 为 军 方 创造 前 沿 新 
型 军事 力量 的 技术 研发 办 公 室 。TTO 的 目标 是 在 新 型 技术 、 武 器 和 系统 方面 ， 
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为 军 方 提供 高 风险 且 具 有 高 回报 性 的 军事 战略 与 战术 。 
2. 战略 技术 办 公 室 


战略 技术 办 公 室 (Strategic Technology Office. STO) 主要 负责 将 研发 的 新 
技术 综合 起 来 ,上 升 到 战略 高 度 来 推进 军事 作战 能 力 。 


3. 国防 科学 办 公 室 


国防 科学 办 公 室 (Defense Sciences Office,DSO) 的 主要 任务 是 在 国防 科学 
技术 的 未 知 领域 进行 不 断 探索 ,提高 国家 国防 安全 技术 水 平 。DSO 是 基础 科学 
和 应 用 科学 之 间 的 一 座 桥梁 ,通过 探寻 和 研究 最 有 利于 国防 科学 建设 的 创新 想 
法 ,并 通过 理论 研究 与 工程 实践 来 将 想法 转化 为 可 应 用 与 军事 领域 的 高 端 技术 。 

4. 信息 创新 办 公 室 

信息 创新 办 公 室 (Information Innovation Office,120) 的 主要 职责 是 在 影响 
战争 规则 的 信息 和 软件 科学 技术 领域 来 探索 创新 技术 。 这 些 信息 和 软件 科学 技 
术 应 用 领域 包括 海洋 、 陆 地 、 天 空 、 太 空 等 传统 领域 和 网 络 空间 及 其 他 新 兴 领 域 。 
120 的 主要 研究 内 容 包 括 , 分 析 这 些 信息 和 软件 技术 应 用 领域 的 战争 新 模式 ,为 
美国 及 其 盟友 研发 信息 技术 对 抗 武器 。 

5. 微 系 统 技术 办 公 室 

微 系统 技术 办 公 室 (The Microsystems Technology Office,MTO) 主要 是 在 
电子 学 、 光 子 学 、 微 机电 系统 算法 和 集成 微 系统 等 领域 开展 技术 研发 工作 。 

6. 行政 办 公 室 


行政 办 公 室 (The Adaptive Execution Office. AEO) 的 职责 是 在 DARPA 项 
目 准 备 、 启 动 、 实 施 过 程 中 ,为 DARPA 的 各 部 门 做 好 行政 服务 工作 。 


6.2 网 络 空间 项 目 Plan X 介绍 


6.2.1 Plan X 背景 介绍 


网 络 空间 现在 已 被 美国 军 方 认为 是 一 个 关键 性 的 战争 领域 ,并 且 网 络 空间 
安全 防护 问题 也 已 被 上 升 为 一 个 国家 性 安全 问题 。 尤 其 是 在 关键 基础 设施 安全 
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方面 ,致力 于 提升 国家 安全 防护 能 力 ,DARPA 的 信息 创新 办 公 室 (I20) 在 2012 
年 5 月 宣布 开展 了 一 个 名 为 Plan X 的 研究 计划 3 ,该 计划 是 一 个 旨 在 为 国防 
部 研制 一 个 集 规划 、 实 施 和 评价 网 络 战功 能 的 研究 项 目 。Plan X 的 主要 目标 是 
为 普通 的 军队 更 好 地 提供 网 络 操控 工具 和 能 力 , 因 为 军队 现在 恰恰 急 缺 这 样 的 
网 络 空间 能 力 。 因 此 ,DARPA 与 6 个 公司 签订 了 共计 7400 万 美元 的 合同 , 研 
究 如 何在 实时 的 、 大 规模 的 和 动态 的 网 络 环境 下 正确 地 理解 .规划 和 管理 网 络 
战争 。 

现代 战争 要 求 军队 在 军事 行动 中 具备 迅速 计划 、 执 行 和 评估 的 能 力 。 国 防 
部 (DoD) 在 数 十 年 的 时 间 里 对 物理 层面 (陆地 、 海 洋 、 天 空 和 空间 ) 进 行 了 深入 的 
研究 。 而 网 络 空间 ,包括 各 种 有 线 和 无 线 连接 .多 种 协议 和 设备 .超级 计算 机 以 
及 嵌入 式 系统 ,已 经 成 为 一 个 新 的 作战 领域 。 美 国 军 方 希 望 在 网 络 空间 领域 中 
同样 具备 迅速 计划 ,执行 和 评估 各 种 军事 行动 的 能 力 。 

美国 军 方 要 通过 Plan X 来 让 军队 清楚 地 认识 到 网 络 空 间 对 军事 的 影响 ,对 
这 个 影响 程度 不 仅 要 有 一 个 精确 的 量化 ,而 且 还 要 清楚 地 认识 到 这 些 影响 会 带 
来 的 附带 后 果 到 底 是 什么 。 在 网 络 战 中 ,一 方 在 网 络 空间 中 所 采取 的 行动 , 当 实 
施 得 当时 , 则 可 能 毁 掉 敌 方 的 网 络 ,但 是 反之 则 又 有 可 能 会 波及 自己 或 同伴 的 网 
络 。 因 此 ,Plan X 拟 研究 当 我 方 实施 网 络 行动 后 ,如 何 避 免 产 生 波及 自己 的 附 
带 损害 后 果 。 目 前 美国 军 方 在 这 方面 也 是 非常 欠缺。 因此 ,如 图 6-2 所 示 ,为 了 
更 好 地 理解 帮助 美军 理解 和 操控 网 络 空间 战争 ,Plan X 尝试 借助 美国 虚拟 现实 
科技 公司 Oculus VR 的 设备 ,帮助 网 络 作战 人 员 用 一 个 三 维 立 体 的 视角 来 分 


图 6-2 DARPA Plan X Jii H ARORA RIERA Oculus 网 络 战 仿 真 
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析 、 理 解 网 络 战 中 。Plan X 预计 将 在 2017 年 完成 ,当然 Oculus VR 的 软件 或 其 
他 人 机 交互 接口 也 有 可 能 会 在 那 之 前 完 


6.2.2 Plan X 的 特点 
1. 军事 人 员 全 程 参 与 


Plan X 拥有 一 支 强大 的 工程 师 队伍 ,同时 邀请 作战 人 员 作 为 最 终 用 户 持续 
参与 , 同 工 程 师 团队 一 起 梳理 工作 流程 ,进行 研制 开发 。 

在 军事 人 员 与 工程 师 团队 的 合作 中 ,Plan X 旨 在 为 军 方 提供 一 个 统一 的 体 
系 架 构 来 实施 网 络 作战 行动 ,可 视 化 显示 网 络 空间 态势 ,并 对 网 络 空间 进行 分 析 
研究 。 


2. 网 络 边 界 防护 


Plan X 关注 的 一 个 重要 领域 是 ,研究 如 何 帮 助 作战 人 员 在 作战 行动 中 确定 
对 网 络 边 界 进行 保护 的 流程 。Plan X 提供 的 产品 基于 需要 防护 的 网 络 关键 部 
位 ,比如 邮件 和 文件 服务 器 .路 由 器 和 网 关 等 ,为 作战 人 员 制 定 网 络 作战 计划 ,并 
对 作战 人 员 的 操作 、 网 络 关键 部 位 的 运行 状态 进行 可 视 化 显示 。Plan X 以 可 视 
化 的 方式 显示 网 络 的 所 有 组 成 部 分 ,作战 人 员 能 够 清楚 地 看 到 它 ,就 像 用 双 简 望 
远 镜 看 物理 地 形 一 样 。 

Plan X 计划 是 将 军事 科学 应 用 于 网 络 空间 的 计算 机 科学 ,为 作战 人 员 提 供 
了 一 个 他 们 能 够 理解 网 络 战 的 平台 。 因 为 它 是 按照 军事 思维 设计 的 ,封装 了 军 
事 决 策 的 具体 过 程 ,允许 作战 人 员 像 他 们 在 新 兵 训练 营 和 军事 院 校 时 训练 时 那 
样 , 制 定 作战 计划 ,对 网 络 空间 进行 研究 分 析 。 


3. 网 络 应 用 程序 


实际 上 ,作战 人 员 往 往 并 不 具备 这 as po 比 
如 数字 望远镜 和 传感器 。 为 了 解决 这 题 ,Plan X 的 工程 师 们 开发 应 用 商 
店 , 并 将 众多 工具 转化 为 应 用 形式 。 

例如 ， ian Mpeg egies 立 用 之 一 , 它 能 够 帮助 作战 人 
员 获 取 作战 环境 中 的 网 络 统计 信息 。 这 一 款 独 立 的 应 用 ， 掌握 基础 信息 技术 
的 用 户 都 会 使 用 。i a ee ua pe 
数 进行 操作 。 工 程 师 团 队 对 其 中 的 复杂 性 进行 抽象 处 理 ,从 而 确保 网 络 计 划 人 
员 能 够 以 实际 效果 而 不 是 孤立 的 术语 进行 合作 与 交流 。 
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4. 发 现 数 据 模型 


网 络 数据 模型 允许 Plan X 的 工程 师 们 严格 定义 网 络 空间 中 的 术语 和 实体 ， 
例如 ,互联 网 协议 地 址 ,介质 访问 控制 地 址 、 网 络 接口 或 软件 等 。 

在 最 初 思考 如 何 建立 这 套数 据 模型 时 ,网 络 环境 内 存在 大 量 事物 需要 以 适 
当 的 方式 加 以 界定 。 因 此 ,他们 着 眼 于 现 有 数据 模型 并 选 定 了 CybOX 一 一 即 网 
络 观测 表达 式 呈 。 

作为 由 联邦 政府 资助 的 研发 中 心 ,Mitre 公司 利用 STIX 与 TAXII 标准 进 
行 模型 开发 。 这 项 工作 被 纳入 2015 年 的 实施 计划 , 旨 在 提升 私营 部 门 的 网 络 安 
全 信息 共享 能 力 。 


5. 建立 行动 方案 


行动 方案 是 为 应 对 潜在 作战 对 手 或 突 发 情况 而 预先 制定 的 作战 计划 。 拟 制 
行动 方案 ,是 为 解决 网 络 战 部 队 缺 乏 明 确 的 战斗 计划 和 交战 规则 的 问题 ,让 网 络 
战 部 队 在 一 旦 出 现 紧急 情况 时 ,能 按照 行动 方案 快速 作出 反应 。 

Plan X 项 目 组 取得 的 另 一 个 胜利 是 创建 了 计划 构造 模型 ,使 得 作战 人 员 可 
以 用 可 视 化 .图 形 化 的 方式 建立 网 络 作战 行动 方案 。 


6.2.3 Plan X 网 络 作战 空间 定义 


因为 军 方 以 及 供应 商 需要 根据 对 网 络 空 间 的 定义 来 进行 建 模 分 析 , 所 以 对 
网 络 作战 空间 进行 清楚 准备 的 定义 是 至 关 重 要 的 。 对 网 络 作战 空间 的 定义 有 三 
个 主要 概念 , 即 网 络 图 ,运行 单位 、 功 能 集中 。 


1. 网 络 图 


对 于 一 个 给 定 的 网 络 空间 而 言 ,' 有 多 种 方式 对 其 网 络 拓扑 进行 映射 ,包括 路 
径 追 踪 .数据 包 分 析 ,静态 架构 图 、 动 态 路 由 协议 更 新 等 。 网 络 图 能 够 给 出 两 个 
不 同 层面 的 网 络 空间 信息 :逻辑 拓扑 和 元 数据 。 

逻辑 拓扑 代表 网 络 中 计算 机 之 间 的 直接 联系 ,确定 计算 机 数据 包 从 源 地 址 
到 目的 地 址 的 路 由 路 径 。 逻 辑 拓扑 包括 被 动 的 网 络 基 础 设施 ,如 交换 机 、 集 线 器 
和 桥接 ,也 包括 主动 网 络 覆 盖 的 拓扑 结构 ,如 加 密 隧道 .多 协议 标签 交换 和 私密 
访问 等 。 计 算 机 网 络 的 逻辑 拓扑 可 以 是 静态 或 动态 的 。 对 网 络 空间 的 定义 要 求 
做 到 对 当前 逻辑 拓扑 状态 的 实时 获取 。 高 度 动态 的 网 络 ( 如 移动 Ad Hoc 网 
络 ) ,或 共同 控制 消息 协议 遭 到 忽略 或 算 改 的 TP. 网 络 ,都 会 给 构建 实时 逻辑 拓扑 
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带 来 较 大 挑战 。 

元 数据 ,代表 逻辑 拓扑 中 每 个 元 素 的 细节 ,包括 链接 能 力 ` 延 迟 和 持久 性 。 
节点 的 元 数据 包括 :链接 的 数量 操作 系统 补丁 级 别 .协议 .端口 和 其 他 信息 。 目 
前 ,元 数据 通常 使 用 主动 和 被 动 扫描 技术 来 获得 ,利用 常见 的 计算 机 安全 工具 对 
其 进行 分 析 。 


在 逻辑 拓扑 确定 后 ,可 以 将 系统 部 署 在 运行 单位 。 和 运行 单位 包括 两 个 基本 
类 型 :输入 节点 和 支撑 平台 。 输 入 节点 提供 了 对 网 络 拓扑 结构 的 直接 物理 访问 
接口 ( 即 输入 节点 是 指 一 个 操作 员 使 用 的 计算 机 ,可 进行 直接 和 协同 操作 ) 。 

支撑 平台 部 署 一 般 有 以 下 几 种 实现 方式 : 修改 一 台 现 有 计算 机 ,使 其 加 
入 一 个 支撑 平台 ; 四 修改 现 有 的 支撑 平台 ; 外 通过 扩展 或 修改 现 有 的 逻辑 网 络 
拓扑 以 对 支撑 平台 进行 实例 化 。 


3. 功能 集 


网 络 作战 空间 中 ,功能 集 是 指 能 够 对 网 络 战场 进行 影响 与 控制 的 应 用 技术 
集合 。 这 些 技术 可 以 大 致 分 为 三 个 类 别 :访问 权限 ,操作 功能 和 通信 技术 。 

访问 权限 允许 设计 师 在 电脑 上 执行 任意 指令 ,可 以 用 来 运行 程序 或 有 效 载 
位。 对 军事 计划 而 言 ,这 种 技术 一 般 用 于 计算 机 或 支撑 平台 上 ,执行 一 个 功能 或 
通信 技术 来 实现 任务 目标 。 操 作 功 能 代表 所 有 其 他 类 型 的 影响 计算 机 和 网 络 的 
技术 ,例如 :rootkit、 键 盘 记 录 、 网 络 扫描 仪 .拒绝 服务 、 网 络 /主机 侦察 ,测量 操作 
系统 控制 和 影响 。 功 能 技术 集 越 全 面 ,军事 计划 者 就 越 可 以 通过 结合 功能 组 件 ， 
制定 更 大 规模 的 军事 计划 。 

通信 技术 为 输入 节点 及 支撑 平台 提供 了 一 系列 用 以 交换 信息 和 实现 系统 功 
能 的 通信 方法 。 


6.2.4 Plan X 技术 领域 


为 了 建立 Plan X 的 原型 系统 ,DARPA 对 系统 架构 .网络 作战 空间 分 析 、 任 
务 部 署 、 任 务 执行 和 直观 界面 五 个 技术 领域 进行 了 研究 或 资助 。 


l. 系统 架构 


系统 架构 团队 建立 Plan X 系统 基础 设施 ,并 支持 整个 系统 的 设计 和 开发 。 
这 些 设计 和 开发 工作 包括 设计 安全 架构 、 开 发 应 用 程序 编程 接口 和 制定 数据 格 
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式 规 范 等 。 系 统 架构 团队 还 负责 采购 系统 硬件 和 维护 整个 基础 设施 系统 。 

系统 架构 团队 主要 关注 以 下 两 个 重点 :网 络 作战 空间 图 形 引擎 的 设计 与 实 
现 , 端 到 端的 Plan X 系统 的 设计 与 集成 。 

QD 网 络 空间 图 形 引擎 

网 络 空 间 图 形 引 擎 是 Plan X 系统 的 核心 。 图 形 引 擎 的 主要 任务 是 对 战场 
信息 ,以 及 其 他 Plan X 系统 组 件 进行 接收 、 储 存 、 检 索 和 传输 等 操作 。 图 形 引擎 
从 各 种 网 络 测绘 组 件 和 业务 覆盖 源 等 处 接收 实时 的 网 络 信息 ,并 以 此 作为 系统 
网 络 的 整体 信息 ,创建 网 络 作战 空间 模型 。Plan X 的 所 有 其 他 组 件 将 与 此 模型 
进行 信息 交互 。 网 络 测绘 组 件 向 图 形 引擎 发 送 的 数据 能 够 帮助 后 者 构建 一 个 实 
时 的 逻辑 拓扑 。 这 些 数 据 包 括 路 由 跟踪 、 链 路 延迟 、 边 界 网 关 协 议 (Border 
Gateway Protocol) , IP 生存 时 间 、 节 点 路 由 表 信 息 及 其 他 有 助 于 构建 逻辑 拓扑 
的 信息 。 

在 逻辑 网 络 拓 扑 中 ,业务 覆盖 信息 被 存储 成 每 个 元 素 的 元 数据 。 例 如 ,业务 
覆盖 信息 包括 操作 系统 标识 .网 络 服务 配置 .防御 和 攻击 能 力 和 敌我 识别 信息 
等 。 此 外 ,网 络 规划 和 运营 信息 也 会 有 助 于 改进 建立 的 网 络 作战 空间 模型 。 网 
络 规划 信息 包括 潜在 的 入口 节点 信息 .平台 部 署 位 置信 息 .通信 路 径 信息 和 通信 
接收 者 信息 等 。 网 络 规划 者 可 以 查看 对 比 网 络 部 署 与 规划 预定 方案 是 否 一 致 ， 
并 进行 及 时 的 分 析 和 修改 。 网 络 运营 信息 包括 网 路 入口 状态 信息 支撑 平 台 运 
行 状 态 信 息 .战斗 损伤 评估 信息 .战斗 效果 测量 信息 .战斗 能 力 状态 信息 等 。 

基于 上 述 网 络 测绘 组 件 、 业 务 覆 盖 源 、 网 络 规划 和 运营 信息 ,Plan X 系统 能 
够 呈现 出 一 幅 全 球 网 络 作 战 空间 的 活动 热力 图 ,并 给 出 作战 行动 计划 和 实际 运 
行情 况 的 对 比 图 。 这 不 仅 将 有 助 于 网 络 作 战 规划 人 员 对 网 络 作战 空间 有 一 个 全 
局 视角 的 认识 ,并 做 出 正确 的 网 络 作战 部 署 ,而 且 还 能 够 帮助 规划 人 员 及 时 对 网 
络 布局 做 出 调整 。 例 如 , 当 规划 人 员 发 现 一 个 网 络 人 口 的 流量 已 经 快要 达到 瓶 
颈 的 时 候 , 就 可 以 及 时 启用 另外 一 个 网 络 入 口 。 

(2) 端 到 端的 Plan X 系统 

系统 架构 团队 的 另 一 工作 重点 是 设计 实现 端 到 端的 Plan X 系统。 这 包括 
必要 的 人 员 设 计 与 运营 ,研发 Plan X 系统 和 测试 基础 设施 等 工作 。 系 统 架构 团 
队 还 对 系统 安全 认证 提供 必要 的 管理 ,并 与 政府 和 其 他 技术 领域 的 合作 者 合作 ， 
以 确保 系统 能 够 支持 所 需 的 技术 ,满足 军事 规划 和 运作 要 求 。 


2. 网 络 作战 空间 分 析 


网 络 作战 空间 分 析 团队 的 主要 任务 就 是 建立 网 络 作战 空间 分 析 模 型 ,开发 
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自动 化 分 析 技 术 ,帮助 网 络 作战 规划 人 员 理 解 网 络 战场 ,制定 战术 可 行 的 网 络 作 
战 计 划 。 此 团队 有 两 个 研究 重点 : 四 通过 开发 自动 化 分 析 技 术 来 协助 军事 规划 
者 构建 网 络 战 计划 ; 四 提供 演习 支持 ,如 模拟 对 手 的 进攻 和 防守 ,对 演习 整体 规 
划 进 行 优 化 。 

(1) 协助 军事 规划 者 构建 网 络 战 计划 

网 络 作 战 空间 分 析 团 队 需 要 对 Plan X 的 信息 进行 分 析 和 建 模 ,这 些 信息 包 
括 但 不 限于 节点 选择 .拓扑 简化 ,支持 平台 布局 .通信 路 径 选 择 等 信息 。 

(QD 节点 选择 

网 络 作战 中 的 军事 规划 者 在 选择 节点 的 时 候 需 要 网 络 作战 空间 分 析 团 队 提 
供 协 助 。 这 些 节点 包括 网 络 和 人口 节点 、 目 标 通 信 节 点 、` 回 避 的 节点 等 。 网 络 作战 
空间 分 析 团队 可 以 帮助 规划 者 根据 其 需要 选择 最 佳 的 网 络 节点 。 

© 拓扑 简化 

当 确 定 了 网 络 入 口 节 点 集合 和 目标 通信 节点 集合 后 ,军事 规划 者 需要 从 整 
个 网 络 拓扑 中 选择 一 个 最 优 的 任务 拓扑 子 集 , 即 通过 简化 拓扑 来 实现 最 短路 径 、 
最 小 直径 路 由 ,或 者 使 网 络 的 最 大 延迟 满足 规划 要 求 等 目标 。 

O 支持 平台 布局 

当 网 络 人 口 节点 集合 、 目 标 通 信 节 点 集合 和 简化 后 的 拓扑 都 确定 了 以 后 , 军 
事 规划 者 需要 决定 支持 平台 的 最 佳 部 署 位 置 。 

CD 通信 和 路径 选择 

从 网 络 入 口 节点 到 目标 通信 节点 的 众多 通信 路 径 中 选择 出 最 优 路 径 的 工 
作 , 如 果 是 由 人 工 来 完成 的 话 , 显 然 是 不 切实 际 的 。 这 就 需要 网 络 作 战 空间 分 析 
团队 开发 一 种 自动 化 路 径 选 择 技术 。 基 于 通信 和 链 路 的 连通 性 、 最 大 网 络 延 迟 、 回 
避 节 点 和 最 大 带宽 等 方面 的 要 求 ,支持 平台 就 可 以 完成 通信 路 径 的 自动 化 选择 
工作 。 

(2) 演习 支持 

网 络 作战 空间 分 析 团 队 的 第 二 个 研究 重点 是 为 网 络 战争 演习 提供 技术 
支持 。 


3. 任务 部 署 


任务 部 署 团队 的 主要 任务 就 是 开发 自动 化 任务 部 署 技术 。 这 种 技术 支持 以 
一 种 图 形 化 界面 形式 来 构建 任务 计划 脚本 ,并 且 还 支持 将 多 个 不 同 的 任务 脚本 
自动 地 合成 一 个 可 执行 的 任务 脚本 。 任 务 部 署 涉及 的 内 容 包 括 但 不 限于 以 下 六 
方面 。 
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(1) 运行 检查 点 

任务 部 署 过 程 允 许 规划 者 在 任务 执行 过 程 中 创建 “检查 点 ”, 以 此 可 以 进行 
实时 的 运行 操作 信息 监测 和 交互 。 规 划 过 程 可 能 还 会 要 求 网 络 运行 者 选择 有 顺 
序 的 行动 ,提供 额外 信息 ,或 者 提供 行动 路 线 。 

(2) 实时 的 失效 备 援 

任务 部 署 过 程 应 具有 实时 的 失效 备 援 功 能 , 即 当 一 个 任务 发 生 故 障 时 , 则 另 
一 个 任务 即 可 自动 接手 原 失 效 任务 所 执行 的 工作 。 此 外 ,失效 备 援 还 需要 支持 
实时 的 人 工 操作 控制 功能 ,允许 操作 者 能 够 直接 彻底 控制 正在 执行 的 任务 。 

(3) 自动 操作 水 平 

任务 部 署 过 程 应 该 能 够 在 网 络 通信 链 路 中 断 或 者 恶化 的 情况 下 , 仍 能 够 确 
定 如 何 实现 自动 化 ,以 及 确定 在 多 大 程度 上 实现 自动 化 操作 。 规 划 者 必须 要 标 
识 出 那些 不 需要 人 工 干 预 就 能 够 自动 化 执行 的 命令 。 

(4) 形式 化 分 析 

通过 将 任务 计划 转换 成 程序 控制 流 图 的 形式 ,任务 部 署 研究 工作 可 以 利用 
现 有 的 程序 分 析 和 形式 化 分 析 方 法 。 

(5) 实行 交战 规则 

应 该 能 够 根据 交战 指挥 官 所 制定 的 交战 规则 ,通过 编程 和 强制 操作 的 方式 
来 创建 任务 计划 。 在 制定 计划 的 时 候 直 接 引 入 交战 规则 ,这 样 一 来 ,任务 部 署 过 
程 就 可 以 用 形式 化 分 析 技 术 来 验证 操作 人 员 对 任务 的 消极 影响 和 未 授权 行为 。 

(6) 网 络 战 “剧本 ” 

网 络 规划 者 可 以 事先 研究 制定 一 系列 作战 行动 战术 “剧本 ”, 以 此 来 辅助 今 
后 的 作战 规划 和 实际 作战 工作 。 这 就 类 似 于 足球 比赛 中 的 战术 安排 ,针对 对 手 
的 不 同情 况 ,制定 相应 的 应 对 战术 。 


4. 任务 执行 


任务 执行 团队 将 研发 任务 脚本 运行 环境 和 任务 脚本 执行 的 支撑 平台 。 

任务 脚本 执行 环境 控制 着 整个 任务 的 执行 ,支撑 着 实时 操作 交互 过 程 , 是 实 
现 Plan X 计划 的 核心 要 素 。 任 务 脚本 执行 环境 可 以 执行 任务 部 署 脚本 ,上 传 任 
务 部 署 脚本 到 支撑 平台 ,实施 交战 规则 等 功能 。 

在 任务 脚本 执行 的 支撑 平台 中 ,任务 执行 团队 则 主要 开发 操作 系统 和 虚拟 
机 。 高 动态 和 敌对 网 络 战 任务 在 这 些 操作 系统 和 虚拟 机 中 运行 。 与 军 方 有 不 同 
的 交通 工具 (如 坦克 ,无 人 机 、 友 炸 机 、 战 斗 机 航空 母 舰 等 ) 执 行 不 同 的 作战 功能 
一 样 , 军 方 也 需要 不 同 的 网 络 战 平台 来 执行 不 同 的 网 络 作战 操作 。 这 些 支 撑 平 
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台 包 括 但 不 限于 以 下 四 方面 。 

(1)“ 发 射 ? 平 台 ( 即 主动 进攻 平台 ) 

这 些 “ 发 射 ? 平 台 支 持 主 动 网 络 进攻 能 力 部 署 、 网 络 战 前 线 部 署 、 多 个 任务 并 
发 执行 和 网 络 入 侵 防御 遏制 等 功能 。 

(2) 网 络 战 效果 监测 平台 

网 络 战 效果 监测 平台 支持 监测 被 攻 和 主动 网 络 战 任务 执行 效果 、 支 持平 台 
的 运行 状态 .任务 通信 数据 的 完整 性 等 功能 。 

(3) 通信 中 继 平台 

在 给 定 的 网 络 拓扑 中 ,通信 中 继 平台 可 建立 任务 需要 的 特定 网 络 路 由 路 径 ， 
选 定 中 继 节点 。 通 信 中 继 平台 可 以 满足 多 种 类 型 通信 协议 .网 络 延迟 和 带宽 要 求 。 

(4) 自 适应 防御 平台 

自 适应 防御 平台 支持 网 络 防御 功能 ,如 过 滤 数 据 包 和 连接 ;将 检测 到 的 网 络 
攻击 信息 通知 其 他 支持 平台 ;针对 敌手 攻击 能 力 ,采取 相应 的 防御 措施 。 


5. 直观 界面 


直观 界面 团队 将 设计 Plan X 的 用 户 界面 ,包括 工作 流 、 直 观 的 视图 、 动 作 研 
究 和 集成 视觉 应 用 。 直 观 界面 团队 拟 研发 以 下 四 种 图 形 化 界面 来 帮助 用 户 与 
Plan X 的 各 项 功能 进行 人 机 交互 。 

(1) 实时 网 络 作战 空间 视图 

实时 网 络 作战 空间 视图 的 工作 流 图 和 视图 关注 的 是 大 规模 网 络 作战 空间 活 
动情 况 。 该 视图 是 所 有 正在 进行 的 网 络 作战 操作 ,部 署 计划 和 实时 网 络 拓扑 结 
构 的 热力 图 。 该 视图 必须 支持 数据 过 滤 功 能 ,能 够 让 网 络 作战 指挥 官 快速 地 放 
大 和 查看 正在 进行 的 某 个 特定 的 网 络 战 操作 或 部 署 计划 。 

(2) 网 络 作战 计划 视图 

网 络 作 战 计划 视图 是 直观 界面 团队 研发 的 四 种 图 形 化 界面 中 最 复杂 的 一 种 
视图 。 直 观 界面 团队 应 该 在 网 络 作战 计划 设计 过 程 中 ,通过 计划 工作 和 概念 性 
工作 流 图 来 描述 作战 计划 。 

(3) 能 力 建 设 视图 

整个 网 络 作战 计划 过 程 应 该 完成 特定 网 络 作战 能 力 的 建设 工作 。 这 些 能 力 
将 应 用 于 今后 实际 的 网 络 战 中 。 因 此 ,直观 界面 团队 还 应 提供 一 种 能 力 建 设 工 
作 流 图 视图 。 

(4) 网 络 战 操控 者 控制 视图 

网 络 战 操控 者 控制 视图 包括 两 类 工作 流 图 。 第 一 类 工作 流 图 包括 网 络 战 操 
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作 执 行 库 和 任务 脚本 的 操作 员 接 口 。 第 二 类 工作 流 图 在 没有 任务 执行 脚本 的 情 
Bb ,为 操控 者 提供 一 种 实时 的 操控 按键 接口 。 


6.3 小 结 


DARPA 一 直 以 来 致力 于 开拓 新 的 国防 科研 领域 ,研究 分 析 具 有 潜在 军事 
价值 .风险 大 的 新 技术 ,验证 新 技术 在 军事 上 应 用 的 可 能 性 。 随 着 网 络 空间 安全 
防护 问题 ,尤其 关键 基础 设施 安全 被 上 升 为 一 个 国家 性 安全 问题 ,DARPA 启动 
了 名 为 Plan X 的 研究 计划 , 旨 在 研发 全 面 感知 和 理解 网 络 空间 作战 的 技术 ,并 
支持 军事 网 络 作战 行动 的 可 视 化 .任务 规划 和 管理 执行 。 本 章 重 点 介绍 了 Plan 
X 对 网 络 作战 空间 的 定义 ` Plan X 涉及 的 技术 领域 和 Plan X 的 特点 。DARPA 
凭借 着 在 开拓 新 的 科研 领域 和 创新 技术 方面 所 做 的 工作 ,可 以 说 是 为 美国 的 科 
技 创新 、 军 事 创新 立 下 了 汗马功劳 。DARPA 的 成 功 ,帮助 美国 在 科技 、 军 事 等 
领域 创立 了 不 可 动摇 的 领先 地 位 。 通 过 分 析 Plan X 项 目 , 可 以 发 现 美国 在 网 络 
空间 领域 的 奇 思 妙 想 确实 值得 我 们 深入 学 习 和 研究 。 
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AAA 


AAL 
AEO 
ANL 
ANT 
APOD 


APT 
AQCESS 
ASD 


ASLR 


CART 

CAT 

CDMA 

CEIR 
ChicagoFIRST 
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Authentication, Authorization and 
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Advanced Analytical Laboratory 
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Argonne National Laboratory 
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CMT 
COOP 
CPS PWG 


CRISP 


CS 


CSCSWG 


CSD 
CSET 
CTIIC 


CVSS 


D2D 
DAR 
DARPA 


DATES 


DDoS 
DETER 


DETERLab 


DHS 


DMZ 
DNP3 


Consequence Modeling Tool 

Continuity of Operations 

Cyber-Physical Systems Public Working 
Group 

Critical Resilient Interdependent Infra- 


structure Systems and Processes 


Cyber Storm 

Cross Sector Cyber Security Working 
Group 

Cyber Security Division 

Cyber Security Evaluation Tool 

Cyber Threat Intelligence Integration 
Center 


Common Vulnerability Scoring System 


Device-to-Device 

Design Architecture Review 

Defense Advanced Research Projects 
Agency 

Detection and Analysis of Threats to 
the Energy Sector 

Distributed Denial of Service 

DEfense Technology Experimental 
Research 

DEfense Technology Experimental 
Research Laboratory 

Department of Homeland Security 

Demilitarized Zone 


Distributed Network Protocol Version 3 


结果 建 模 工 具 
继续 运作 
CPS 公开 工作 组 


重要 基础 设施 和 
过 程 的 弹性 相 
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工作 组 

网 络 安全 局 

网 络 安全 评估 工具 

网 络 威胁 情报 整 
合 中 心 

普遍 脆弱 性 评分 
系统 

设备 到 设备 

设计 架构 评审 
美国 国防 部 先进 
研究 项 目 局 

能 源 行业 的 威胁 
检测 和 分 析 

分 布 式 拒 绝 服务 

防御 技术 实验 研究 


防御 技术 实验 研 
究 实 验 室 
国土 安全 部 
隔离 区 
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DoD 
DoE 
DoE-OE 


DoS 
DSO 
DyNAT 
EAGLE 


EIOC 


EMIST 


EO 
ESF 
FETS 


FPGI 
GAME 


GCC 
GISLA 


GSM 
HAS 
HMI 
HPS 
HSARPA 
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Department of Defense 

Department of Energy 

Department of Energy's Office of 
Electricity delivery &- energy reliability 

Denial of Service 

Defense Sciences Office 

Dynamic Network Address Translation 


Environment for Analysis of Geo- 


Located Energy Information 


Electricity Infrastructure Operations 


Center 


Evaluation Methods for Internet 


Security Technology 
Executive Order 
Emergency Support Function 


Government Emergency Telecommuni- 


cations 
Future Power Grid Initiative 


Graphical Adversary Modeling Environ- 


ment 
Government Coordination Committee 


Government Information Security 


Leadership Awards 
Global System for Mobile Communication 
Homeland Security Act 
Human Machine Interface 
Host Protection Strategies 


Homeland Security Advanced Research 


Projects Agency 


国防 部 

能 源 部 

电力 调度 与 能 源 
可 靠 性 办 公 室 

拒绝 服务 

国防 科学 办 公 室 
动态 网 络 地 址 转换 
基于 地 理 的 能 源 
信息 分 析 环境 
电力 基础 设施 运 
营 中 心 
互联 网 安全 技术 
评估 方法 

i 政令 

应 急 支 持 功能 

政府 紧急 电信 服务 


=) 


未 来 电网 倡议 

图 形 化 对 手 建 模 
工具 

政府 协调 委员 会 

政府 信息 安全 领 
导 奖 

全 球 移动 通信 系统 
国土 安全 法 

人 机 接口 

主机 保护 策略 
国土 安全 部 高 级 
研究 计划 局 
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HSIN 


HSOC 


HVAC 


HVDC 


120 


ICCP 


ICI 


ICS] WG 


IDS 
IEC 


IIMG 


INL 


IPS 


ISA 


ISAC 


ISAO 


ISR 
IWWN 


LANL 


Homeland Security Information 
Network 

Homeland Security Operation Center 

High Voltage Alternating Current 

High Voltage Direct Current 

Information Innovation Office 

Inter-Control Center Communica- 
tions Protocol 


Interdependent Critical Infrastructure 


Industrial Control System Joint 
Working Group 

Intrusion Detection System 

International Electrotechnical Com- 
mission 

Interagency Incident Management 
Group 

Idaho National Laboratory 

Intrusion Prevention Systems 

International Federation of the Na- 
tional Standardizing Associations 

Information Sharing and Analysis 
Center 

Information Sharing and Analysis 
Organizations 

Instruction Set Randomization 

International Watch and Warning 
Network 


Los Alamos National Laboratory 


国土 安全 信息 网 络 


国土 安全 运营 中 心 
高 压 交 流 电 
高 压 直 流 电 
信息 创新 办 公 室 
内 部 控制 中 心 通 
信 协 议 

相互 依赖 的 关键 
基础 设施 
工业 控制 系统 联 
合 工作 组 

入 侵 检测 系统 
国际 电工 委员 会 


跨 部 门 事件 管理 
小 组 

爱 达 荷 国家 实验 室 
入 侵 防 御 系 统 
国际 标准 化 协会 


信息 共享 和 分 析 
中 心 

信息 共享 和 分 析 
组 织 
指令 集 随 机 化 
国际 观察 和 预警 
网 络 

洛斯 阿拉 莫 斯 国 
家 实验 室 


LOGIIC 


MS-ISAC 


MT6D 


MTD 


MTO 


MUTE 


NASR 


NCCIC 


NCRCG 


NCSD 
NERC 


NGCI 


NHERI 


NIPP 


NIST 


NPPD 


NSA 
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Linking the Oil and Gas Industry to 


Improve Cyber Security 


Multi-State Information Sharing & 


Analysis Center 


Moving Target IPv6 Defense 


Moving Target Defense 
Microsystems Technology Office 
Mutable Networks 


Network Address Space Randomization 


National Cybersecurity and Commu- 
nications Integration Center 
National Cyber Response Coordination 
Group 

National Cyber Security Division 


Natural Environment Research Council 


Next Generation Cyber Infrastructure 


Natural Hazards Engineering Research 
Infrastructure 

National Infrastructure Protection Plan 
National Institute of Standards 
and Technology 

National Protection and Programs 


Directorate 


National Security Agency 


将 石油 和 天 然 气 
工业 连接 起 来 
增强 网 络 安全 

多 州 联合 的 信息 
共享 与 分 析 中 心 

基于 IPv6 的 移动 
目标 防御 

移动 目标 防御 

微 系统 技术 办 公 室 

突变 网 络 

网 络 地 址 空间 随 
机 化 

国家 网 络 安全 与 
通信 集成 中 心 

国家 网 络 响 应 协 
调 小 组 

国家 网 络 安全 局 

自然 环境 研究 委 
员 会 

下 一 代 网 络 基础 
设施 

自然 灾害 工程 基 
础 设施 研究 

国家 基础 设施 保 
护 计划 

国家 标准 与 技术 
研究 院 

国家 保卫 与 计划 
指挥 部 

国家 安全 局 
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NSF 
NSIEs 
NSTB 


OF-RHM 


ORNL 
PCII 


PCIS 


PCS 
PDD 
PLC 
PNNL 


PowerNET 


RHM 
RIRN 
RRAP 


RTDS 
RTU 
SAV 
SCADA 


SCC 
SCIT 
SG-CG 


National Science Foundation 
Network Security Information Exchanges 
National SCADA Test Bed 


OpenFlow Random Host Mutation 


Oak Ridge National Laboratory 

Protected Critical Infrastructure 
Information 

Partnership for Critical Infrastructure 
Security 

Process Control System 

Presidential Decision Directives 

Programmable Logic Controller 


Pacific Northwest National Laboratory 


Power Networking Equipment and 
Technology 

Random Host Mutation 

Remote Incident Response Network 

Regional Resiliency Assessment Pro- 
gram 

Real Time Digital Simulator 

Remote Terminal Unit 

Sender Address Verification 

Supervisory Control And Data Acqui- 
sition 

Sector Coordinating Committee 

Self Cleansing Intrusion Tolerance 


Smart Grid Coordination Group 


国家 科学 基金 会 
网 络 安全 信息 交流 
国家 SCADA 测 
试 床 
开放 流 随 机 主机 
突变 
橡树 岭 国家 实验 室 
保护 关键 基础 设 
施 信息 

关键 基础 设施 安 
全 伙伴 关系 
过 程控 制 系统 
总 统 令 

可 编程 逻辑 控制 器 
西北 太平 洋 国家 
实验 室 
电网 网 络 设备 和 技术 


随机 主机 突变 
远程 事件 响应 网 络 
区 域 弹性 评估 程序 


实时 数字 仿真 器 
远程 终端 单元 
源 地 址 验证 

数据 采集 与 监视 
控制 

行业 协调 委员 会 

自 清洗 入 侵 容 忍 技术 
智能 电网 协调 小 组 


SGIP 


SIS 
SLTTGCC 


SNL 


SOP 


SSCP 


STD 


STO 
TCIPG 


UMTS 


USC ISI 


US-CERT 


WPS 
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Smart Grid Interoperability Panel 


Safety Instrumented Systems 

State, Local, Tribal. and Territorial 
Government Coordinating Council 

Sandia National Laboratory 

Standard Operating Procedure 

SCADA Communications 


Protocol 


Secure 


Science and Technology Division 
Strategic Technology Office 


Trustworthy Cyber Infrastructure 


for the Power Grid 


Tactical Technology Office 
Trustworthy Wireless Working Group 
Unified Coordination Group 


University of California. San Diego 


Universal Mobile Telecommunications 
System 

University of Southern California. 
Information Sciences Institute 

United States Computer Emergency 
Readiness Team 

United States Secret Service 

Virtual Control System Environment 

Worldwide Interoperability for Micro- 
wave Access 


Wireless Priority Service 


智能 电网 的 互 操 
作 性 小 组 
安全 仪表 系统 
州 、 地 方 政府 、 部 
落 协 调 委 员 会 
桑 迪 亚 国家 实验 室 
标准 操作 流程 
安全 SCADA 通 
信 协 议 
科学 与 技术 局 
战略 技术 办 公 室 
使 得 智能 电网 中 
的 网 络 基础 设 
施 变 得 可 信 
战术 技术 办 公 室 
可 信赖 无 线 工作 组 
统一 协调 小 组 
Jn MK E 3E 3E X 
分 校 
通用 移动 通信 系统 


南 加 州 大 学 信息 
科学 研究 所 
美国 计算 机 应 急 

预备 小 组 
美国 特工 处 
虚拟 控制 系统 环境 
全 球 微波 互联 接 入 


无 线 优先 级 服务 


附录 B 美国 关键 基础 设施 安全 之 
物 联 网 安全 调研 


随 着 工业 信息 化 和 自动 化 的 不 断 发 展 与 变革 ,工业 物 联 网 作为 工业 系统 自 
动 化 与 传 感 技术 和 云 计算 大 数据 等 技术 高 度 融 合 的 产物 ,可 通过 工业 设备 之 间 、 
设备 与 人 之 间 的 互联 互通 , 云 计算 和 大 数据 分 析 , 充 分 发 挥 设备 与 系统 的 潜能 ， 
深度 优化 产业 结构 , 极 大 地 提高 工业 生产 产能 和 效率 。 

工业 控制 系统 或 工业 物 联网 作为 国家 基础 设施 的 重要 组 成 部 分 ,支撑 着 能 
源 、 通 信和 金融、 交通、 公用 事业 等 重要 行业 的 正常 运转 。 因 此 ,本 附录 将 单独 介 
绍 美国 在 物 联网 安全 方面 所 指定 的 一 些 战 略 或 建议 报告 。 


B.1 美国 国土 安全 部 保障 物 联网 安全 战略 原则 
报告 简介 


美国 国土 安全 部 于 2016 年 12 月 15 日 发 布 了 一 份 (保障 物 联网 安全 战略 原 
则 报告 》。 该 报告 阐述 了 物 联 网 安全 总 体 原 则 ,确定 了 在 政府 和 行业 工作 中 需要 
加 强 的 物 联网 安全 防护 重点 。 


B.1.1 介绍 和 概览 


物 联 网 (IoT) 的 网 络 连接 设备 ,系统 和 服务 的 增长 为 我 们 的 社会 创造 了 巨 
大 的 机 会 和 利益 。 而 物 联 网 自身 安全 却 跟 不 上 创新 和 部 署 的 快速 步伐 ,造成 了 
重大 的 安全 和 经 济 风险 。 本 文档 解释 了 这 些 风险 ,并 提供 了 一 套 非 约束 原则 和 
最 佳 实践 的 建议 ,来 为 设备 和 系统 业务 设计 、 制 造 、 使 用 和 运营 构建 一 个 负责 任 
ABR 。 

(1) 物 联 网 的 增长 和 流行 

互联 网 连接 的 设备 实现 了 人 、 网 络 和 物理 设施 之 间 的 无 颖 连接 。 这 些 连 接 
具有 高 的 效率 .新颖 用 途 和 定制 体验 ,吸引 着 制造 商 和 消费 者 。 网 络 连接 的 设备 
已 经 在 日 常生 活 的 许多 方面 变 得 无 所 不 在 ,甚至 是 必 不 可 少 的 ,从 健身 跟踪 器 、 
起 搏 器 和 汽车 到 向 我 们 的 家 庭 提供 水 和 电力 的 控制 系统 , 物 联网 提供 的 服务 几 
乎 没有 限制 。 
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(2) 确定 物 联网 安全 优先 级 
虽然 物 联网 的 好 处 是 不 可 否认 的 ,但 现实 是 ,安全 性 跟 不 上 创新 的 步伐 。 随 
着 人 们 越 来 越 多 地 将 网 络 连接 集成 到 国家 的 关键 基础 设施 中 ,原来 人 工 完成 的 
重要 过 程 (并 因此 拥有 免疫 措施 来 抵抗 恶意 网 络 活动 ) 现 在 很 容易 受到 网 络 威 
胁 。 越 来 越 多 的 国家 对 网 络 连接 技术 的 依赖 比 保护 它 的 手段 增长 得 更 快 。 

物 联 网 生态 系统 引入 了 风险 ,包括 恶意 行为 操纵 网 络 设备 来 回 的 信息 流动 
或 算 改 设备 本 身 ,这 些 导 致 敏感 数据 的 盗 失 和 消费 者 隐私 的 丢失 、 业 务 操作 的 中 
断 、 大 规模 分 布 式 拒绝 服务 攻击 带 来 的 互联 网 减速 ,以 及 关键 基础 设施 潜在 的 
毁坏 。 

2015 年 ,从 网 络 攻击 导致 乌克兰 部 分 地 区 电网 暂时 停电 事件 中 ,世界 看 到 
了 连接 系统 的 故障 可 导致 严重 的 后 果 。 因 为 我 们 国家 现在 依赖 正常 运作 的 网 络 
来 维护 如 此 多 的 生命 需要 的 基础 设施 , 物 联 网 安全 现在 已 经 成 为 国土 安全 的 
问题 。 

政府 和 行业 必须 尽快 合作 ,确保 物 联 网 生态 系统 建立 在 可 信赖 和 安全 的 基 
础 之 上 。2014 年 ,总 统 国家 安全 电信 咨询 委员 会 (NSTAC) 强 调 需要 采取 紧急 
行动 。 

物 联网 的 应 用 不 断 在 速度 和 范围 上 增加 ,并 将 几乎 影响 我 们 社会 的 所 有 部 
门 。 确 保 物 联网 的 应 用 不 会 带 来 不 应 有 的 风险 是 国家 面临 的 重要 挑战 。 此 外 ， 
有 一 个 很 小 且 快 速 闭合 的 窗口 期 ,来 保证 物 联网 以 最 大 化 安全 最 小 化 风险 的 方 
式 应 用 。 如 果 国 家 没 能 成 功 把 握 机 会 , 它 将 会 对 几 代 人 带 来 安全 影响 。 

现在 是 解决 物 联网 安全 的 时 候 了 。 本 文件 为 公共 和 私营 部 门 参与 这 些 关键 
问题 设置 了 阶段 。 第 一 步 是 在 物 联网 开发 者 、 制 造 商 、 服 务 提供 商 以 及 购买 和 部 
署 这 些 设 备 、. 服 务 和 系统 的 用 户 之 间 ,激励 和 构建 关于 物 联网 安全 积极 措施 的 对 
话 。 以 下 原则 和 实施 建议 提供 的 策略 集中 在 TOT 安全 方面 ,增强 了 加 固 TOT 微 
系统 的 可 信和 架构 。 

(3) 战略 原则 概述 

通过 公认 的 最 佳 安全 做 法 能 够 减少 物 联网 的 许多 安全 缺陷 ,但 今天 太 多 产 
品 没有 实现 基本 的 安全 措施 。 有 很 多 成 因 导 致 这 种 安全 缺陷 ,一 是 不 清楚 谁 应 
该 为 安全 责任 负责 ,一 家 公司 设计 设备 , 另 一 家 公司 提供 组 件 软件 ,再 一 家 公司 
操作 能 入 设备 的 网 络 , 以 及 还 有 一 家 公司 部 署 这 些 设 备 。 由 于 缺乏 综合 的 广泛 
采用 的 物 联 网 安全 国际 规范 和 标准 ,这 一 挑战 更 加 突出 。 其 他 成 因 还 包括 缺乏 
激励 开发 者 研发 安全 产品 ,因为 他 们 不 一 定 承 担 这 样 做 的 成 本 ,甚至 没有 意识 到 
如 何 评估 竞争 选项 的 安全 特征 。 
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需要 为 利益 相关 者 提供 一 种 关于 他 们 如 何 解决 些 物 联 网 安全 挑战 的 思考 的 
方法 : 

DO 在 设计 阶段 结合 安全 ; 

@ 启用 安全 更 新 和 漏洞 管理 ; 

O 建立 在 可 靠 的 安全 实践 之 上 ; 

@ 根据 潜在 影响 确定 安全 措施 的 优先 级 ; 

© 提升 物 联网 的 透明 度 ; 

© 连接 需 仔细 谨慎 。 

随 着 物 联网 安全 工作 的 不 断 努 力 , 政 府 和 私营 企业 共享 责任 , 物 联网 风险 将 
持续 地 减缓 。 公 司 和 消费 者 通常 对 他 们 制造 或 购买 产品 的 安全 特征 做 出 的 自己 
决定 负责 。 在 某 些 特定 监管 环境 和 执法 活动 之 外 ,政府 的 作用 是 提供 工具 和 资 
源 , 以 便 公 司 、 消 费 者 和 其 他 利益 相关 者 能 够 就 物 联网 安全 做 出 明智 的 决策 。 

(4) 范围 .目的 和 受众 

这 些 非 约束 性 原则 的 目的 是 为 利益 相关 者 提供 在 开发 、 制 造 、 实 施 或 使 用 网 
络 连 接 设备 时 帮助 解决 安全 问题 的 建议 做 法 。 具 体 来 说 ,这 些 原则 的 目的 是 : 

CD 物 联网 开发 人 员 ,在 设计 和 开发 设备 、 传 感 器、 服务 或 物 联网 的 任何 组 件 
时 应 考虑 安全 问题 ; 

© 物 联 网 制造 商 ,应 提高 消费 者 设备 和 供应 商 管理 设备 的 安全 性 ; 

@ 服务 提供 商 , 通 过 物 联 网 设备 实现 服务 ,考虑 这 些 物 联网 设备 提供 的 功 
能 安全 性 ,以 及 支持 这 些 服 务 的 基础 设施 的 安全 性 ; 

@ 工业 和 商业 级 消费 者 (包括 联邦 政府 和 关键 基础 设施 所 有 者 和 运营 商 )， 
应 作为 领导 者 参与 制造 商 和 服务 提供 商 提供 安全 物 联 网 设备 。 


B.1.2 战略 安全 保障 原则 


以 下 阐述 的 原则 和 旨 在 提高 物 联网 在 设计 、 制 造 和 部 署 阶段 的 安全 性 。 广 泛 
采用 这 些 战略 原则 和 相关 建议 的 做 法 将 大 大 提高 物 联 网 的 安全 态势 。 然 而 , 没 
有 一 种 适合 所 有 情况 的 解决 方案 来 减轻 物 联 网 安全 风险 。 以 下 列 出 的 所 有 实践 
在 物 联网 设备 的 多 样 性 中 将 同样 重要 。 这 些 原则 旨 在 考虑 相关 业务 环境 以 及 涉 
及 网 络 连接 的 设备 ,系统 或 服务 的 事故 可 能 导致 的 特定 威胁 和 后 果 的 方式 进行 
调整 和 应 用 。 

(1) 在 设计 阶段 结合 安全 

安全 性 应 被 评估 为 任何 网 络 连接 设备 的 必要 部 分 。 虽 然 有 例外 ,但 在 许多 
情况 下 ,经 济 驱动 力 或 对 风险 意识 的 缺乏 使 得 企业 将 设备 推 入 市 场 时 很 少 考虑 
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安全 。 在 设计 阶段 结合 安全 ,可 以 避免 产品 在 开发 和 部 署 之 后 因 安 全 问题 带 来 
的 潜在 业务 中 断 和 高 昂 重 建成 本 。 通 过 注重 网 络 设备 安全 性 ,也 能 为 生产 商 和 
服务 商 提供 市 场 分 化 机 遇 。 以 下 做 法 是 在 设计 .开发 和 生产 的 最 早 阶 段 解决 安 
全 问题 的 一 些 最 有 效 的 方法 。 

建议 操作 : 默认 情况 下 安全 性 是 通过 唯一 的 、 难 以 破解 的 缺 省 用 户 名 和 密 
码 来 保障 。 用 户 通常 不 会 修改 由 生产 商 提供 的 物 联网 设备 的 缺 省 用 户 名 和 密 
码 , 导 致 其 用 户 名 和 密码 很 容易 被 破解 。 僵 尸 网 络 通过 不 断 扫 描 使 用 生产 商 提 
供 的 默认 用 户 和 密码 的 物 联 网 设备 来 运行 。 强 壮 的 安全 控制 应 该 是 让 用 户 具 有 
修改 禁用 某 些 功能 的 权限 。 

使 用 技术 和 经 济 可 行 的 最 新 操作 系统 构建 设备 。 许 多 物 联 网 设备 使 用 
Linux 操作 系统 ,但 没有 使 用 最 新 的 操作 系统 。 使 用 最 新 操作 系统 确保 已 知 漏 
洞 都 被 修补 。 

使 用 硬件 集成 安全 特性 增强 设备 的 保护 和 完整 性 。 例 如 ,在 处 理 器 中 嵌入 
晶体 管 级 的 安全 集成 蕊 片 ,并 提供 加 密 和 匿名 功能 。 

在 设计 中 考虑 系统 和 操作 中 断 。 了 解 设备 故障 可 能 导致 的 后 果 将 使 开发 人 
员 ,制造 商 和 服务 提供 商 做 出 更 明智 的 基于 风险 的 安全 策略 。 在 可 行 的 情况 下 ， 
开发 人 员 应 构建 物 联网 设备 考虑 其 失效 可 能 带 来 的 安全 后 果 , 从 而 防止 失效 导 
致 更 大 的 系统 中 断 。 

(2) 推进 安全 更 新 和 漏洞 管理 

即使 在 设计 阶段 考虑 了 安全 性 ,但 在 产品 部 署 后 发 现 漏洞 也 很 常见 。 这 些 
漏洞 能 通过 补丁 安全 更 新 和 漏洞 管理 策略 缓解 。 在 设计 这 些 策略 时 ,开发 人 员 
应 考虑 设备 故障 的 影响 、 相 关 产 品 的 持久 性 以 及 预期 的 维修 成 本 。 在 没有 部 署 
安全 更 新 能 力 的 情况 下 ,制造 商 可 能 面临 昂贵 的 召回 成 本 并 召回 具有 已 知 的 漏 
洞 的 设备 。 

建议 操作 : 考虑 通过 网 络 或 其 他 自动 化 方式 对 设备 进行 安全 保护 。 理 想 情 
况 下 ,自动 对 程序 打 修 补丁 ,并 利用 加 密 完整 性 和 认证 保护 来 更 快 地 修补 漏洞 。 

考虑 协调 第 三 方 供 应 商 来 进行 软件 更 新 ,以 修补 漏洞 和 改进 安全 性 ,确保 消 
费 者 设备 具有 一 整套 的 安全 防护 措施 。 

开发 解决 漏洞 的 自动 化 机 制 。 例 如 ,在 软件 工程 领域 存在 从 实时 的 研究 和 
黑客 团体 的 关键 漏洞 报告 中 提取 信息 的 机 制 。 这 允许 开发 人 员 在 软件 设计 阶段 
修补 这 些 漏洞 ,并 适时 做 出 响应 。 

制定 关于 协调 漏洞 的 披露 政策 ,包括 相关 的 安全 措施 以 解决 已 知 的 漏洞 。 
协调 披露 政策 应 包括 开发 人 员 、 制 造 商 和 服务 提供 商 , 并 包括 提交 给 计算 机 安全 
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事故 响应 小 组 (CSIRT) 的 有 关 任 何 漏洞 的 报告 信息 。 美 国 计 算 机 应 急 相 应 小 组 
(US-CERT) .工业 控制 系统 (ICS)-CERT 和 其 他 CSIRT 提供 定期 技术 警报 , 包 
括 在 重大 事件 后 提供 关于 漏洞 修补 和 缓解 的 措施 。 

制定 物 联 网 设备 的 使 用 期 限 策 略 。 并 不 是 所 有 的 物 联网 设备 都 会 无 限期 地 
修补 和 更 新 。 开 发 人 员 应 该 提前 考虑 产品 使 用 期 限 问 题 ,并 告知 制造 商 和 消费 
者 在 超出 设备 使 用 期 限 后 ,使 用 设备 可 能 存在 的 风险 。 

(3) 建立 在 可 靠 的 安全 实践 之 上 

许多 验证 过 的 传统 IT 和 网 络 安全 实践 可 以 应 用 于 IoT 领域 。 这 些 方法 可 以 
帮助 发 现 漏洞 ,检测 合 规 性 ,响应 潜在 事件 ,并 从 IOT 设备 的 损坏 或 中 断 中 恢复 。 

国家 标准 与 技术 研究 所 (NIST) 发 布 了 一 个 网 络 安 全 风险 管理 框架 中 ,该 框 
架 已 被 私营 企业 .部 门 和 组 织 内 部 广泛 采用 。 该 框架 被 广泛 认可 为 组 织 网 络 风 
险 管理 的 一 个 全 面 的 试金石 。 尽 管 不 是 针对 物 联网 ,但 风险 框架 为 考虑 风险 和 
最 佳 实践 提供 了 起 点 。 

建议 操作 : 从 基本 的 软件 安全 和 网 络 安全 实践 开始 ,并 以 灵活 、 适 配 和 创新 
的 方式 应 用 于 IoT 生态 系统 。 

参考 相关 部 门 的 具体 指导 ,作为 考虑 安全 实践 的 起 点 。 一 些 联邦 机 构 针 对 
其 管理 的 特定 部 门 制 定 了 安全 实践 。 例 如 ,国家 公路 交通 安全 管理 局 
(NHTSA) 最 近 发 布 了 关于 现代 车 辆 网 络 安 全 最 佳 实践 的 指南 ,解决 了 自动 或 
半自动 车 辆 带 来 的 一 些 特殊 风险 。 同 样 ,食品 和 药物 管理 局 发 布 了 医疗 器 械 网 
络 安全 市 场 管理 指南 草案 。 

执行 深度 防御 。 开 发 人 员 和 制造 商 应 该 采用 整体 的 安全 策略 ,包括 针对 网 
络 安全 威胁 的 分 层 防御 机 制 , 以 及 用 户 级 工具 作为 恶意 角色 的 潜在 入 口 点 。 如 
果 修 补 或 更 新 机 制 不 可 用 或 不 足以 修补 漏洞 ,深度 防御 措施 将 特别 有 价值 。 

参与 信息 共享 平台 ,实时 报告 并 接收 漏洞 , 收 到 公共 和 私人 合作 伙伴 中 获取 
的 当前 网 络 威胁 和 漏洞 的 重要 信息 。 信 息 共 享 是 确保 利益 相关 者 在 出 现 威胁 时 
了 解 威胁 的 关键 。 国 土 安全 部 (Department of Homeland Security, DHS) 国家 
网 络 安 全 和 通信 和 集成 中 心 (National Cybersecurity and Communications 
Integration Center, NCCIC) ,以 及 不 同 国家 及 其 部 门 的 信息 共享 和 分 析 中 心 
(Information Technology-Information Sharing and Analysis Center，ISAC) 和 
信息 共享 和 分 析 组 织 (Information Sharing and Analysis Organizations，ISAO) 。 

(4) 根据 潜在 影响 优先 考虑 安全 措施 

风险 模型 在 物 联网 生态 系统 中 存在 显著 差异 。 例 如 ,工业 消费 者 (例如 核 反 
应 堆 所 有 者 和 操作 者 ) 与 零售 消费 者 有 不 同 的 考虑 。 不 同 客户 安全 失效 带 来 的 
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后 果 也 有 很 大 差异 。 因 此 ,专注 破坏 .泄露 或 恶意 活动 的 潜在 后 果 对 决定 物 联网 
生态 系统 的 安全 方向 以 及 最 好 的 减缓 重大 后 果 至 关 重 要 。 

建议 操作 : 在 可 能 的 情况 下 了 解 设备 的 预期 用 途 和 环境 。 这 种 意识 能 够 帮 
助 开发 人 员 和 制造 商 考虑 IoT 设备 的 技术 特性 .设备 如 何 操作 以 及 可 能 需要 的 
安全 措施 。 

执行 “ 红 队 ”练习 ,开发 人 员 主 动 尝试 绕 过 应 用 程序 网 络 .数据 或 物理 层 所 
需 的 安全 措施 。 由 此 产生 的 分 析 和 安全 增强 计划 应 有 助 于 优先 决定 在 何 处 和 如 
何 采用 额外 安全 措施 。 

识别 和 验证 连接 到 网 络 的 设备 ,尤其 是 工业 用 户 和 商业 网 络 。 对 已 知 设备 
和 服务 应 用 认证 措施 ,允许 工业 消费 者 控制 其 组 织 框架 内 的 那些 设备 和 服务 。 

(5) 提升 物 联 网 的 透明 度 

在 可 能 情况 下 ,开发 人 员 和 制造 商 需 要 了 解 供应 链 , 了 解 组 织 外 供应 商 提供 
的 软 、 硬 件 部 件 是 否 有 任何 的 相关 漏洞 。 依 赖 于 许多 低 成 本 、 易 于 获取 的 应 用 在 
物 联网 中 软 硬 件 解决 方案 ,了 解 相关 信息 可 能 会 成 为 挑战 。 由 于 开发 人 员 和 制 
造 商 依赖 外 部 资源 提供 低 成 本 、 易 于 获取 的 软 硬 件 解决 方案 ,因此 在 开发 和 部 署 
物 联网 设备 时 ,他 们 可 能 无 法 准确 评估 组 件 中 内 置 的 安全 级 别 。 此 外 ,由 于 许多 
物 联 网 设备 利用 开源 包 , 开 发 人 员 和 制造 商 可 能 无 法 确定 这 些 组 件 部 分 的 来 源 。 

增强 意识 可 以 帮助 制造 商 和 工业 消费 者 识别 安全 措施 应 用 的 位 置 和 具体 方 
法 ,或 者 元 余 建设 。 根 据 相关 产品 的 风险 状况 ,开发 人 员 、 制 造 商 和 服务 提供 商 
将 更 有 能 力 尽 快 适当 地 缓解 威胁 和 漏洞 ,无 论 是 通过 修补 ,产品 召回 还 是 消费 者 
咨询 。 

建议 操作 : 

在 可 能 的 情况 下 ,考虑 内 部 和 第 三 方 供应 商 进 行 端 到 端 风 险 评估 。 开 发 商 、 
制造 商 和 供应 商 应 参与 风险 评估 过 程 ,使 他 们 能 够 意识 到 潜在 的 第 三 方 脆弱 性 ， 
并 促进 信任 和 透明 。 安 全 性 应 该 随 着 供应 链 中 组 件 更 换 、 删 除 或 升级 而 重新 
评估 。 

考虑 创建 一 个 关于 漏洞 报告 的 公开 披露 的 机 制 。 例 如 ,Bug Bounty 计划 依 
靠 众 包 方法 来 识别 公司 内 部 安全 团队 可 能 没有 捕获 的 漏洞 。 

考虑 开发 和 使 用 软件 材料 的 清单 ,用 作 构 建 供 应 商 和 生产 商 之 间 的 共享 信 
任 机 制 。 开 发 人 员 和 制造 商 应 考虑 在 设备 包 中 提供 已 知 硬 件 和 软件 组 件 的 列 
表 , 通 过 该 方法 满足 保护 知识 产权 的 需要 。 列 表 可 以 作为 物 联网 生态 系统 中 其 
他 人 有 价值 的 工具 ,以 了 解 和 管理 其 风险 ,并 在 发 生 任何 事件 后 立即 修复 任何 
漏洞 。 
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(6) 小 心间 慎 接 入 

考虑 物 联网 的 使 用 和 物 联 网 被 破坏 的 相关 风险 , 物 联网 消费 者 ,尤其 是 工业 
企业 应 该 小 心 并 谨慎 考虑 是 否 持续 联网 。 物 联网 消费 者 还 可 以 通过 小 心 谨慎 地 
接 入 来 衡量 网 络 连接 带 来 的 潜在 威胁 ,以 及 衡量 物 联 网 设备 潜在 的 破坏 或 故障 
的 风险 ,以 及 限制 连接 到 互联 网 上 的 成 本 。 

在 当前 联网 环境 中 ,任何 给 定 物 联网 设备 可 能 在 其 生命 周期 期 间 被 中 断 。 
物 联网 开发 人 员 、 制 造 商 和 消费 者 应 考虑 中 断 会 如 何 影响 物 联网 设备 的 主要 功 
能 和 业务 操作 。 

建议 操作 : 

向 物 联 网 用 户 提 供 任何 网 络 连 接 的 预期 用 途 。 可 能 不 需要 直接 互联 网 连接 
来 操作 物 联网 设备 的 关键 功能 ,特别 是 在 工业 环境 中 。 关 于 连接 的 性 质 和 目的 
的 信息 可 以 告知 消费 者 来 决定 。 

进行 有 意 地 连接 。 有 些 情 况 下 ,消费 者 不 想 直 接连 接 到 互联 网 ,而 是 连接 到 
可 以 聚合 和 评估 任何 关键 信息 的 本 地 网 络 。 例 如 ,工业 控制 系统 (ICS) 应 通过 
ICS-CERT 发 布 的 推荐 原则 外 来 进行 保护 。 

内 置 控件 ,允许 制造 商 、 服 务 提供 商 和 消费 者 在 需要 或 希望 时 禁用 网 络 连接 
或 特定 端口 ,以 启用 选择 性 连接 。 根 据 物 联网 设备 的 用 途 , 向 消费 者 提供 对 终端 
实施 的 指导 和 控制 是 一 种 良好 的 做 法 。 


B.1.3 结论 


我 们 的 国家 无 法 承担 一 代 未 考虑 安全 的 部 署 的 物 联网 设备 。 考 虑 到 关键 基 
础 设施 ,个 人 隐私 和 经 济 的 潜在 危害 ,代价 太 高 ,后 果 不 堪 重 负 。 

由 于 DHS 发 布 这 些 原则 ,认识 到 我 们 在 其 他 联邦 机 构 的 同事 正在 努力 , 推 
进 架 构 和 建立 实践 来 解决 物 联网 的 安全 问题 。 本 文件 是 通过 阐明 总 体 安全 原则 
加 强 这 些 努 力 的 第 一 步 。 但 是 ,肯定 需要 下 一 步 。 

DHS 确定 了 应 该 在 政府 和 行业 中 加 强 物 联网 安全 的 四 个 方面 的 努力 。 

(1) 协调 各 个 联邦 部 门 和 机 构 与 物 联网 利益 相关 者 进行 互动 合作 ,共同 探 
索 新 方法 来 减轻 物 联网 带 来 的 风险 

DHS 与 其 联邦 合作 伙伴 将 继续 与 行业 合作 伙伴 进行 合作 ,以 确定 可 进一步 
加 强 IoT 安全 性 的 方法 ,并 促进 对 可 能 解决 IoT 风险 的 不 断 发 展 的 技术 趋势 的 理 
解 。 今 后 的 努力 还 将 侧重 于 更 新 和 应 用 这 些 原则 ,进一步 完善 和 理解 这 些 方法 。 

(2) 建立 利益 相关 者 的 物 联 网 风险 意识 

重要 的 是 ,利益 相关 者 应 了 解 物 联 网 风险 ,以便 他 们 能 够 定位 自己 如 何 解 决 
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这 些 风险 。DHS 将 与 其 他 机 构 、 营 部 门 和 国际 合作 伙伴 合作 ,增强 公众 意识 、 教 
育 和 培训 计划 。DHS 与 其 他 机 构 一 起 ,还 将 对 特定 部 门 和 个 人 消费 者 采取 更 直 
接 的 举措 。 

(3) 识别 并 推进 纳入 物 联 网 安全 的 激励 措施 

政策 制定 者 、 立 法 者 和 利益 相关 者 需要 考虑 如 何 更 好 地 激励 增强 物 联网 安 
全 性 的 努力 。 在 当前 环境 中 ,常常 不 清楚 谁 对 某 一 产品 或 系统 的 安全 负 有 责任 。 
此 外 ,安全 性 差 所 带 来 的 成 本 通常 不 由 增强 安全 的 人 承担 。DHS 和 所 有 其 他 利 
益 相 关 方 需要 考虑 侵权 责任 、 网 络 保险 、 立 法、 监管 ,自愿 认证 管理 ,标准 设 定 举 
措 、 自 愿 行业 级 计划 和 其 他 机 制 来 改善 安全 ,同时 仍然 鼓励 经 济 活动 和 突破 性 创 
新 。 今 后 ,DHS 将 召集 合作 伙伴 谈论 这 些 重大 事项 ,并 收集 意见 和 反馈 。 

(4) 致力 于 物 联网 的 国际 标准 开发 过 程 

IoT 是 全 球 生态 系统 的 一 部 分 ,美国 与 其 他 国家 和 国际 组 织 正在 全 力 应 对 
同样 的 安全 问题 ,开始 评估 众多 同样 的 安全 考虑 。 重 要 的 是 ,IoT 相关 活动 不 会 
分 裂 成 不 一 致 的 标准 或 规则 集 。 随 着 DHS 越 来 越 注 重 物 联 网 的 努力 ,我 们 必须 
与 国际 合作 伙伴 和 私营 部 门 合作 ,支持 国际 标准 的 发 展 ,并 确保 它们 符合 我 们 对 
促进 创新 和 促进 安全 的 承诺 。 

DHS 期 待 着 这 些 下 一 步 的 合作 步 又。 合作 将 确保 网 络 连接 的 未 来 不 仅 是 
创新 ,而 且 安全 和 建设 更 为 持久 。 


B.2 美国 国家 安全 电信 委员 会 物 联 网 报告 简介 


美国 国家 安全 电信 委员 会 于 2014 ^E 11 H 19 日 发 布 了 一 份 ( 物 联网 报告 》。 
该 报告 介绍 了 物 联 网 概论 ,分 析 了 物 联网 在 国家 安全 和 应 急 准 备 工作 中 发 挥 的 
作用 ,探讨 了 物 联网 给 人 类 社会 带 来 的 影响 。 


B.2.1 告 综 述 


智能 、 自 适应 、 连 通 的 物 联网 设备 正在 快速 普及 ,应 用 在 几乎 所 有 的 关键 基 
础 设施 部 门 中 , 且 其 发 展 速度 远 远 超 过 此 前 的 技术 。 物 联网 将 显著 提高 社会 发 
展 的 效率 ,其 中 许多 物 联 网 技术 已 经 被 实现 ,彻底 地 提高 了 社会 效率 ,诸如 系统 
故障 的 早期 发 现 . 可 靠 性 和 应 变 能 力 的 提高 等 。 但 是 物 联 网 设备 的 快速 普及 和 
连接 也 带 来 了 许多 风险 ,包括 新 的 攻击 方式 、 新 的 漏洞 等 。 也 许 我 们 最 关心 的 
是 ,使 用 远程 访问 造成 物理 设备 破坏 的 可 能 性 越 来 越 大 上 9 。 

意识 到 这 一 点 ,美国 总 统 行政 办 公 室 ,特别 是 国家 安全 委员 会 ,在 国家 安全 
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和 应 急 准 备 (National Security and Emergency Preparedness. NS/EP) 的 背景 
下 ,任命 国家 安全 电信 咨询 委员 会 (National Security Telecommunications 
Advisory Committeen，NSTAC) 研 究 物 联网 中 的 网 络 安全 含义 。NSTAC 发 现 
物 联网 的 应 用 速度 不 断 加 快 、 履 盖 范 围 也 将 越 来 越 广 ,最 终 将 影响 人 类 社会 的 方 
方面 面 。 国 家 面临 的 挑战 是 确保 物 联 网 的 应 用 不 会 产生 不 必要 的 风险 ,此 外 ， 
NSTAC 还 认为 ,在 物 联网 系统 中 必须 有 一 个 “ 较 小 的 、 能 快速 关闭 的 窗口 ”确保 
物 联网 风险 最 小 化 ,如 果 国 家 不 这 样 做 , 物 联网 的 风险 将 一 直 影响 到 后 代 。 

2014 4E 2 H .NSTAC 发布 了 工业 互联 网 的 研究 报告 ,总 结 了 NSTAC 工业 
互联 网 研究 下 属 机 构 的 工作 。 该 报告 显示 ,除了 工业 互联 网 , 物 联 网 还 被 称 为 其 
他 几 个 术语 ,包括 :机 器 到 机 器 通信 ,万 物 的 互联 网 、 网 络 化 的 物理 系统 。 在 报告 
中 ,NSTAC 将 物 联网 描述 为 全 球 基础 设施 的 扩展 ,其 主要 通过 现 有 的 和 不 断 发 
展 的 信息 技术 ,结合 物理 系统 和 虚拟 网 络 系统 的 连接 ,实现 新 的 自动 化 能 力 。 该 
报告 还 指出 , 物 联 网 的 潜在 好 处 包括 能 推动 创新 服务 的 发 展 ,在 许多 情况 下 ,这 
促使 我 们 能 更 有 效 地 利用 基础 设施 。 然 而 ,研究 发 现 政府 和 企业 必须 考虑 物 联 
网 的 几 个 安全 因素 ,包括 攻击 范围 迅速 扩大 .千变万化 的 威胁 环境 、 隐 私 问 题 2] 
态 集中 的 网 络 攻击 、 硬 件 生命 周期 的 改变 等 。NSTAC 认为 物 联网 的 这 些 利益 
和 风险 在 早期 部 署 的 时 候 已 经 被 大 家 公认 了 ,因此 ,更 好 地 了 解 这 种 技术 、 现 有 
的 和 新 的 政策 结构 的 含义 以 及 它 对 关键 基础 设施 安全 性 和 稳定 性 的 影响 非常 重 
要 。 为 深化 对 这 种 技术 的 研究 ,在 NS/EP 的 背景 下 ,NSTAC 建立 了 物 联 网 
(IoT) 研 究 小 组 去 研究 物 联网 中 网 络 安全 的 影响 。 

在 2008 ,美国 国家 情报 委员 会 预测 “到 2025 年 , 物 联网 将 是 一 个 颠覆 性 的 
技术 ”。 该 委员 会 同时 强调 ,个 人 、 企 业 和 政府 都 没有 做 好 准备 去 迎接 一 个 网 络 
接口 驻 留 在 日 常用 品 各 个 方面 的 未 来 。 近 六 年 后 ,这 一 预测 仍然 是 有 效 的 ,但 现 
在 看 来 , 物 联网 将 被 破坏 却 远 远 早 于 2025 年 。 国 家 情报 局 (CDNI) 表 示 " 这 些 系 
统 的 复杂 性 和 本 身 性 质 意 味 着 安全 没有 保障 ,不 法 分 子 可 能 会 很 轻松 地 对 这 些 
系统 造成 安全 问题 ”。 一 些 统计 数据 验证 了 政府 的 担忧 :在 2008 年 互联 网 连接 
设备 的 数量 第 一 次 超过 人 口 数量 ,而 且 这 个 数字 还 在 继续 增长 ,增长 速度 比 人 口 
增长 数量 更 快 。 到 2013 年 ,有 多 达 130 亿 个 设备 接 和 人 互联网, 并且 预 测 表 明 ,到 
2020 年 ,这 个 数量 将 增长 到 500 亿 或 更 多 ,这 些 设备 在 全 球 将 产生 超过 8 IKK 
元 的 收入 。 其 中 ,许多 系统 对 任何 用 户 , 包 括 恶 意 攻击 者 都 是 可 见 的 ,因为 搜索 
引擎 已 经 息 取 了 整个 互联 网 的 索引 ,识别 出 了 连接 的 设备 。 

物 联网 是 近 几 十 年 来 在 通信 、 网 络 、 处 理 能 力 、 小 型 化 和 应 用 创新 方面 上 的 
最 新 发 展 ,并 从 根本 上 改变 了 通信 、 网 络 和 传感器 。 物 联网 是 由 一 些 离散 的 对 
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象 .应 用 程序 和 在 物理 世界 中 可 以 感知 记录、 解释 通信、 处理 各 种 信息 或 控制 
设备 的 服务 组 成 的 网 络 。 然 而 , 物 联网 不 同 于 以 前 技术 的 发 展 情况 ,因为 它 超越 
了 计算 机 网 络 的 限制 ,并 直接 连接 到 物理 世界 。 正 如 现代 通信 已 经 从 根本 上 改 
变 NS/EP, 物 联网 也 有 类 似 的 革命 性 的 影响 。 

纵 观 整个 通信 革命 ,大 量 现 有 的 和 新 的 技术 使 得 生产 效率 显著 提高 ,并 且 政 
府 和 私营 部 门 业务 和 效益 能 力也 得 到 惊人 的 改善 。 同 时 , 物 联网 在 联网 设备 的 
部 署 速度 .规模 和 广度 方面 各 不 相同 ,也 使 得 个 人 和 组 织 都 获得 了 巨大 效益 。 尽 
管 物 联网 带 来 的 好 处 是 非常 明显 的 ,但 同时 也 伴随 着 一 些 风险 。 增 加 的 依赖 关 
系 .数量 不 断 增长 的 设备 以 及 设备 的 互联 都 将 产生 一 个 巨大 的 攻击 面 和 众多 的 
潜在 威胁 。 扩 大 的 攻击 面 和 国家 对 这 些 新 系统 的 依赖 ,无论 是 直接 或 间接 仍 入 
到 关键 基础 设施 系统 ,都 将 使 物 联 网 和 新 系统 成 为 犯罪 分 子 、. 恐 怖 分 子 、 图 谍 不 
轨 的 国家 的 目标 。 这 些 依赖 关系 将 不 断 增 加 , 物 联网 将 渗透 到 经 济 的 各 个 部 门 
和 人 民生 活 的 各 个 方面 。 然 而 所 有 的 用 户 都 必须 应 付 这 种 扩大 的 攻击 面 , 物 联 
网 在 国家 安全 领域 的 应 用 都 必须 针对 潜在 的 风险 进行 强化 。 随 着 IoT 制造 商 和 
供应 商 努力 满足 客户 的 需求 ,包括 NS/EP 需求 ,竞争 将 最 终 决 定 哪 些 产 品 和 服 
务 成 功 或 失败 ,从 而 推动 进一步 的 创新 。 

认识 到 物 联网 发 展 的 速度 .应 用 的 广度 ,部署 的 深度 ,总 统 行政 办 公 室 ,特别 
是 国家 安全 委员 会 ,要 求 国家 安全 电信 咨询 委员 会 (NSTAC) 在 NS/EP 背景 下 
进行 物 联网 网 络 安 全 的 研究 。2013 年 10 月 ,NSTAC 指定 的 联邦 官员 建立 了 工 
业 互 联网 范围 的 小 组 研究 这 个 问题 ,并 为 NSTAC 提供 相关 信息 。 经 过 批准 后 ， 
研究 小 组 于 2014 年 3 月 正式 成 立 。 报 告 中 主要 探讨 物 联网 爆炸 性 增长 对 NS/ 
EP 领域 的 影响 ,并 将 重点 介绍 对 NS/EP 敏感 基础 设施 的 安全 状态 和 相关 战略 
产生 的 潜在 变化 。 报 告 主要 考虑 以 下 几 个 方面 :潜在 网 络 攻击 面 的 巨大 扩展 和 
变形 , 物 联 网 引发 的 数据 爆炸 的 影响 ,以 及 开发 关注 物 联 网 、 信 息 技 术 .运营 技术 
的 新 学 科 的 需要 。 

新 兴 的 物 联网 技术 被 部 署 在 从 个 人 到 国家 系统 的 不 同 范围 ,NSTAC 采取 
的 方法 是 以 此 为 指导 的 。 为 了 获得 与 物 联 网 技术 实施 相关 的 关键 概念 、 最 佳 实 
践 和 经 验 教训 ,NSTAC 与 一 些 联邦 政府 组 织 和 行业 专家 进行 洽谈 ,与 业界 的 几 
个 行业 领先 的 组 织 进行 合作 ,这 些 组 织 致力 于 帮助 塑造 未 来 最 好 的 物 联 网 。 此 
外 ,在 NSTAC 工业 互联 网 范围 界定 报告 中 ,确定 了 物 联 网 的 四 个 研究 领域 ,以 
帮助 形成 NSTAC 的 如 下 四 点 研究 工作 : 

CD 安全 : 诚信 、 弹 性、 用 户 行为 .公共 /私人 合作 伙伴 关系 ; 

(2) 操作 : 系统 的 互 操 作 性 ,操作 的 可 靠 性 ,频谱 优先 级 ,IT/OT 过 程 协调 ; 
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(3) Beit: 最 佳 实践 和 标准 , 按 设 计 安 全 ,信任 关系 ,与 NS/EP 方案 的 集成 ; 

(4) 政策 : 弹性 .隐私 、 公 共 安 全 、 国 际 因素 。 

此 外 ,NSTAC 还 进行 了 SWOT 分 析 ( 优 势 劣势 .机 会 威胁 ) ,针对 NS/EP 
背景 下 进行 SWOT 分 析 , 强调 了 物 联网 的 效益 和 风险 ,这 一 分 析 有 助 于 
NSTAC 考虑 物 联 网 技术 建议 的 优先 级 。 


B.2.2 物 联网 概论 


物 联 网 系统 支撑 着 美国 社会 的 每 一 个 方面 ,从 交通 到 公共 事业 到 通信 ,系统 
可 以 接受 来 自 全 世界 的 访问 和 控制 。 越 来 越 多 的 设备 连接 到 网 络 ,这 些 网 络 彼 
此 相连 ,这 就 是 物 联 网 。 但 是 ,没有 统一 定义 的 物 联网 ,没有 一 个 统一 的 协议 确 
定 使 用 该 名 称 来 描述 这 种 趋势 。 无 论 是 所 谓 的 物 联网 .工业 网 络 或 网 络 物理 系 
统 (CPS) ,这 些 术语 描述 的 物 联 网 都 是 由 一 些 离散 的 对 象 (或 设备 ) .应 用 程序 和 
在 物理 世界 中 可 以 感知 记录、 解释 沟通 .处 理 各 种 信息 并 采取 行动 或 控制 设备 
的 服务 组 成 的 网 络 。 这 些 设 备 的 覆盖 范围 从 普通 消费 者 设备 上 的 小 型 传感器 到 
复杂 的 工业 控制 系统 (集成 电路 ) 。 最 终 ,该 设备 直接 或 间接 通过 与 一 个 机 械 装 
置 相连 的 方式 对 物理 世界 产生 动态 影响 。 

物 联网 设备 一 般 有 三 个 共同 的 属性 : 

(1) 普通 对 象 是 可 以 检测 到 的 ,这 意味 着 在 网 络 中 的 这 些 对 象 可 以 单独 
寻 址 ; 

(2) 这 些 物理 对 象 是 相互 关联 的 ; 

(3) 无 论 是 自身 或 与 其 他 设备 或 应 用 程序 的 组 合 ( 基 于 其 编程 或 编程 与 物 
理 世 界 收 集 的 输入 的 结合 ) ,这 些 设备 都 表现 得 非常 智能 且 能 自 适应 调整 功能 。 

在 政府 .工业 和 私人 生活 的 基础 设施 部 门 中 ,许多 类 型 的 设备 正在 被 快速 设 
计 用 于 发 现 一 些 物理 现象 (例如 ,运动 或 指定 的 热 或 光 ) 。 当 满足 特定 的 条 件 时 ， 

这 些 自 适应 设备 能 在 未 经 人 类 或 其 他 计算 机 的 进一步 的 命令 授权 情况 下 会 自动 
执行 所 设计 的 功能 。 这 样 的 设备 还 可 以 使 用 物 联网 设计 中 国有 的 通信 连接 来 接 
收 远程 命令 以 执行 特定 功能 (例如 ,打开 (或 关闭 ) 开 关 、 阀 门 或 操作 机 械 设备 ) 。 

物 联网 的 概念 比较 新 ,并 不 是 简单 地 把 电脑 连接 到 机 器 上 去 。 工 厂 和 机 器 
设备 长 期 以 来 一 直 由 工业 控制 系统 (ICS) 和 监控 采集 系统 (SCADA) 控 制 和 管 
理 , 他 们 负责 基于 操作 环境 对 工业 和 机 械 进行 监测 和 控制 。 这 些 物理 设备 连 入 
互联 网 并 非 是 革命 性 的 .使 得 物 联网 不 同 于 传统 信息 技术 是 它 在 下 面 三 个 方向 
的 爆炸 式 扩张 : 

首先 , 物 联网 的 部 署 规模 和 应 用 的 速度 是 前 所 未 有 的 。 虽 然 和 传统 的 行业 
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有 所 不 同 , 但 是 它 很 快 被 大 众 广 泛 接受 ,仅仅 5 年 时 间 , 就 有 260 亿 至 500 亿 物 
联网 设备 被 部 署 。 相 比 之 下 ,发 展 超过 一 代 人 的 手机 发 展 最 盛 时 期 使 用 量 也 只 
有 六 十 亿 。 

其 次 , 物 联 网 的 部 署 范围 广 , 大 到 非常 复杂 的 系统 ,小 到 简单 的 设备 ,从 主要 
生产 设施 和 控制 中 心 到 消费 者 。 

最 后 , 物 联 网 部 署 的 人 口 跨度 也 正在 迅速 蔓延 ,没有 基础 设施 不 受到 这 种 现 
象 的 影响 。 

物 联 网 涉及 美国 社会 的 方方面面 , 它 将 创造 未 知 的 网 络 连接 和 依赖 关系 。 
水 力 、 电 力 、 紧 急 服务 、 医 疗 保健 ,农业 和 运输 业 等 行业 越 来 越 多 地 依赖 于 物 联网 
设备 。 这 将 创建 一 个 环形 的 设备 依赖 网 络 。 同 样 地 , 物 联网 设备 本 身 是 依赖 于 
一 系列 的 其 他 物 联 网 设备 来 提供 必要 的 服务 ,如 电力 、 通 信和 数据 服务 等 。 

无 论 那些 面向 消费 者 的 平台 或 系统 是 否 直 接连 接 到 NS/EP 系统 , 物 联 网 都 
将 直接 影响 到 NS/EP 系统 ,在 联邦 和 与 安全 相关 的 组 织 和 基础 设施 领域 的 所 有 
工作 人 员 将 受到 物 联 网 爆炸 式 发 展 所 带 来 的 影响 ,最 终 影响 到 每 个 消费 者 的 日 
常生 活 。 这 种 影响 是 不 可 避免 的 ,并 且 任 何 的 努力 都 不 足以 阻止 它 , 即 使 试图 以 
安全 的 名 义 , 也 不 可 能 完全 解决 。INTAC 向 总 统 报告 政府 安全 通信 的 时 候 ， 
NSTAC 指出 了 现代 信息 技术 已 经 广泛 被 工作 人 员 接 受 ,并 应 用 到 NS/EP 相关 
的 工作 中 ,悄然 改变 着 非 机密 政 府 工作 的 安全 性 。 该 报告 的 调查 结果 、 结 论 和 建 
议 已 经 被 新 的 物 联网 现象 验证 。 物 联网 的 快速 部 署 导致 风险 正在 不 断 增加 , 那 
些 正在 被 广泛 使 用 的 能 产生 巨大 效益 的 新 技术 吸 须 新 的 方法 来 保证 安全 ,同时 ， 
工业 物 联网 的 基础 系统 设置 也 应 该 采用 新 的 方式 ,此 前 的 方案 中 ,系统 可 以 同时 
被 授权 用 户 和 恶意 用 户 访 问 和 控制 。 综 合 起 来 , 物 联网 已 经 广泛 扩散 到 各 个 消 
费 领域 ,已 经 渗透 到 传统 独立 的 工业 环境 中 ,并 将 成 为 不 可 分 割 的 一 部 分 。 

物 联 网 的 快速 应 用 创造 了 很 多 即时 的 真实 的 利益 。 那 些 通过 网 络 连接 的 
设备 可 以 更 有 效 ,更 稳定 地 运行 ,因为 它 能 在 潜在 故障 发 生 之 前 进行 自我 报告 。 
连接 的 医疗 设备 可 以 很 好 地 检测 病人 病情 ;先进 的 物流 可 以 提高 零售 商 的 分 发 
商品 的 能 力 , 同 时 能 提高 联邦 应 急 管理 机 构 的 灾难 响应 能 力 ;普通 民众 也 可 以 通 
过 物 联 网 技术 简化 和 改善 他 们 的 生活 。 

与 此 同时 , 物 联 网 也 会 带 来 很 多 风险 。 对 于 个 人 消费 者 来 说 ,风险 往往 是 次 
要 的 ,商业 物 联 网 设备 的 沦陷 可 能 造成 些许 不 方便 ,但 一 般 不 威胁 生命 或 国家 安 
全 ,然而 ,医疗 器 械 , 包 括 那 些 可 植 和 的 器 械 会 因为 他 们 内 置 的 连接 而 和 传统 的 
器 械 显得 不 同 , 物 联 网 医疗 设备 的 故障 可 能 会 导致 病人 的 死亡 。DNI 在 2014 年 
1 月 国会 的 声明 中 指出 :个 人 设备 .医疗 设备 和 医院 网 络 的 交叉 部 署 , 网 络 的 漏 
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洞 可 能 会 对 患者 导致 意 想不到 的 结果 ”, 物 联网 也 增加 了 个 人 隐私 的 风险 ,因为 
大 多 数 的 物 联网 设备 都 会 对 用 户 数据 进行 采集 .分析 和 存储 。 

同时 ,运行 或 连接 到 国家 关键 基础 设施 上 的 物 联网 设备 的 故障 也 会 对 国家 
经 济 和 安全 造成 影响 ,关键 基础 设施 中 物 联 网 设备 越 来 越 自动 化 , 且 自 适应 能 力 
越 来 越 强 ,它们 可 以 控制 系统 、 收 集 数据 ,并 作用 于 这 些 数 据 , 一 旦 这 些 设备 发 生 
故障 ,将 会 造成 非常 深远 的 影响 ,这 些 影响 可 能 是 经 济 层面 的 (例如 ,生产 力 和 对 
国民 经 济 的 损失 ) 或 在 公共 安全 领域 的 (例如 ,动态 损坏 或 在 极端 情况 下 机 械 或 
基础 设施 发 生 灾 难 性 故障 )。 

尽管 一 些 技术 人 员 可 能 预见 到 这 种 缺陷 ,但 是 物 联网 的 爆炸 式 增长 以 及 不 
同系 统 之 间 不 断 增加 的 连接 性 未 被 考虑 到 当前 网 络 系统 和 机 械 的 设计 中 。 结 果 
就 会 带 来 一 些 与 OT (operational technology, 运 营 技 术 ) 和 IT 较 差 连接 性 相关 
的 网 络 安全 风险 ,他 们 的 交集 有 时 称 为 冲突 或 收敛 。 

IT 和 OT 在 历史 上 就 是 响应 不 同 的 需求 的 ,从 风险 承受 能 力 的 发 展 过 程 来 
看 ,有 着 完全 不 同 的 基本 计划 和 假设 。 例 如 ,IT 领域 相关 的 设备 和 软件 的 寿命 
可 达 数 月 或 数 年 ,而 OT 的 生命 周期 往往 可 以 达到 几 十 年 ,从 历史 上 看 ,IT 和 
OT 在 学 术 界 和 研究 机 构 常 被 视 为 独立 的 学 科 , 为 了 尽量 减少 由 物 联网 带 来 的 
潜在 风险 ,这 种 差距 必须 解决 ,这 要 求 从 一 开始 就 必须 要 考虑 到 安全 性 和 应 变 能 
力 的 问题 。 

物 联 网 也 开始 打破 商业 和 工业 技术 之 间 的 壁垒, 那些 旨 在 面向 消费 者 的 设 
备 和 软件 越 来 越 多 地 被 用 于 制造 业 和 国家 安全 行业 ,此 外 ,有 可 能 某 些 被 消费 者 
广泛 青睐 的 低 功 耗 、 廉 价 的 设备 和 技术 ,包括 应 用 软件 等 也 可 以 和 基础 设施 系统 
联系 起 来 ,作为 更 复杂 的 关键 技术 产品 的 基础 。 因 此 ,在 面向 消费 者 设备 的 背景 
下 做 出 的 安全 决策 和 引入 的 安全 缺陷 可 能 比 先 前 的 创新 具有 更 深远 的 影响 。 


B.2.3 NS/EP 中 物 联 网 影响 的 思 


物 联网 技术 的 快速 部 署 ,也 潜在 地 影响 国家 安全 和 应 急 准 备 (NS/EP), 从 
关键 服务 如 何 交 付 给 公民 到 如 何 保护 国家 都 存在 着 问题 。IoT 设备 的 广泛 使 用 
允许 扩展 态势 感知 和 数据 分 析 , 这 将 增强 基础 设施 运营 。 显 而 易 见 的 ,在 智能 城 
市 .智能 电网 和 智能 交通 等 领域 ,以 及 正在 向 个 人 \ 大 型 企业 网 络 推出 的 无 数 智 
能 设备 中 创新 和 部 署 的 速度 似乎 没有 放 缓 。 

向 公众 开放 的 高 度 集成 的 物 联 网 环境 有 望 促进 经 济 发 展 \ 改 善 公民 的 生活 。 
当 IoT 与 其 他 相关 技术 概念 (例如 ,大 数据 、 云 计算 、 机 器 人 技术 和 自主 性 ) 相 结 
合 时 ,IoT 将 为 不 同 需求 的 用 户 产 生前 所 未 有 的 效果 。 但 是 ,也 有 其 他 因素 可 能 
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阻碍 物 联 网 达到 其 最 大 潜力 ,具体 包括 未 能 管理 与 快速 创新 和 增加 连接 带 来 的 
风险 ,缺乏 一 个 权威 的 支持 结构 ,以 及 政策 和 治理 方法 无 法 跟 上 物 联 网 技术 发 展 


1. 物 联 网 技术 的 独特 之 处 


物 联 网 时 代 可 能 是 互联 网 革命 中 最 具 颠 覆 性 的 时 代 。 物 理 对象 .远程 存储 
的 数据 和 自然 环境 都 将 相互 交互 。 尽 管 对 物 联 网 技术 提供 的 巨大 潜力 已 经 达成 
共识 ,但 人 们 似乎 普遍 缺乏 如 何 保证 在 最 大 化 物 联 网 对 于 NS/EP 潜在 利益 的 同 
时 确保 适当 的 风险 管理 的 远见 和 目标 。 此 外 ,当前 的 治理 流程 没有 和 物 联网 创 
新 相关 的 变化 步伐 保持 一 致 。IoT 设备 的 数量 不 断 增加 ,由 于 物 联网 技术 的 模 
块 化 ,暴露 了 许多 标准 化 、 互 操 性 和 身份 验证 相关 的 空白 。 


2. 物 联 网 设备 的 扩散 


物 联 网 产生 的 缺口 增加 了 一 些 设备 不 被 网 络 检测 到 的 可 能 性 ,从 而 使 得 难 
以 保护 它们 免 受 不 法 分 子 攻击 。 因 此 ,不 法 分 子 的 攻击 面 呈 指数 增长 。 此 外 , 许 
多 面向 消费 者 的 设备 和 工业 设备 依赖 于 最 初 安装 的 戏 入 式 处 理 器 ,在 设计 初期 
并 没有 考虑 到 将 它们 连接 到 网 络 ;然而 ,现在 的 建筑 物 供暖 .通风 和 空调 系统 , 制 
造 系统 以 及 汽车 制 动 和 转向 系统 都 能 够 提供 进行 远程 监控 和 远程 控制 的 接口 。 
随 着 物 联 网 设备 的 使 用 变 得 越 来 越 普 遍 , 机 构 和 组 织 已 经 难以 避免 依赖 物 联网 
源头 和 产品 提供 的 功能 。 对 比 移动 通信 的 发 展 历程 ,智能 设备 的 普及 趋势 也 将 
变 得 不 可 避免 。 随 着 这 些 设 备 的 不 断 增加 ,重要 的 任务 是 保证 信息 安全 ,减少 未 
来 的 风险 。 需 要 明确 的 方案 来 帮助 那些 机 构 和 组 织 在 采用 新 的 物 联 网 技术 或 将 
物 联网 应 用 到 传统 系统 之 前 做 出 安全 决策 。 

白宫 总 统 创 新 研究 项 目 ,也 称 智能 美国 项 目 ,展示 了 整个 城市 和 经 济 部 门 
(如 交通 运输 和 能 源 ) 如 何 融 合 新 兴 物 联网 技术 的 益处 。 该 项 目 展示 了 物 联网 
的 巨大 潜力 , 但 同时 强调 了 以 下 两 点 : 物 联网 的 功能 和 设计 文化 使 其 进入 市 
场 的 速度 超过 任何 安全 问题 ; 四 目前 没有 公认 的 库 、 信 息 交 换 流 程 或 权威 组 织 
来 为 它们 提供 经 验 教 训 ,以 便 物 联网 能 够 轻易 地 部 署 。 


3. 废弃 数据 


已 部 署 的 数 十 亿 个 联网 的 智能 设备 正在 产生 越 来 越 多 的 数据 ,这 些 数据 可 
以 以 多 种 方式 使 用 。 新 的 数据 来 源 的 意 想 不 到 的 后 果 是 会 产生 “数据 废气 ”, 当 
被 恶意 分 子 检 测 到 时 ,重要 的 数据 (例如 ,国家 领导 人 的 地 理 位 置 或 生物 特征 ) 可 
能 会 被 截获 。 物 联网 设备 收集 数据 的 潜在 影响 是 无 限 的 。 
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在 物 联 网 出 现 之 前 ,数据 收集 是 在 封闭 的 仓库 中 进行 的 ,数据 倾向 于 保存 在 
其 原始 单位 或 组 织 中 。 物 联网 的 普及 改变 了 这 一 点 ,数据 聚合 和 数据 的 广泛 使 
用 现在 已 成 常态 。 面 向 企业 和 消费 者 的 数据 聚合 服务 使 得 物 联 网 设备 生成 的 大 
量 新 数据 的 挖掘 变 得 非常 宝贵 ,但 它们 也 将 成 为 攻击 和 隐私 侵犯 的 焦点 。 我 们 
可 以 通过 优化 流程 .资源 分 配 和 决策 产生 巨大 的 社会 效益 ,其 中 ,在 关键 基础 设 
施 的 一 些 部 门 ,包括 健康 能源 .交通 领域 已 经 实现 了 早期 效益 。 另 外 , 物 联 网 引 
发 的 数据 爆炸 (通常 称 为 大 数据 ) 虽 说 不 是 新 兴 的 ,但 物 联网 数据 分 析 将 推动 新 
的 生产 ,发 展 和 创新 浪潮 ,最 终 影 响 每 个 部 门 。 然 而 ,挖掘 大 数据 的 全 部 潜力 是 
极 具 挑战 性 的 。 此 外 , 数 十 亿 的 设备 每 时 每 刻 产生 数据 ,进行 数据 传输 和 并 存储 
数据 ,最 终 将 导致 数据 废气 ,这 可 能 将 产生 不 容易 发 现 的 漏洞 。 通 常 这 些 数据 包 
含 很 多 敏感 信息 ,诸如 遥测 、 语 音 、 视 频 、 健 康 和 基础 设施 组 件 的 状态 数据 。 隐 私 
权 法 、 安 全 法 、 知 识 产 权 法 和 使 用 条 款 将 需要 更 新 来 适应 这 一 新 的 现状 。 

同时 ,需要 更 多 的 专家 来 充分 利用 物 联网 提供 的 数据 ,组 织 可 能 面临 大 数据 
使 用 优化 的 挑战 ,包括 了 解 现 有 的 控制 机 制 ,以 保护 数据 传输 系统 、 处 理 系统 和 
存储 系统 。 由 于 某 些 组 织 和 代理 机 构 尝 试 整合 来 自 多 个 数据 源 的 信息 ,对 数据 
的 访问 变 得 越 来 越 重要 。 


4. IT 和 OT 网 络 的 角色 和 功能 模糊 


物 联网 模糊 了 IT 和 OT 的 边界 。 多 年 来 ,IT 和 OT 已 经 发 展 了 自己 的 一 
些 支 持 者 、 价 值 观 和 用 户 文化 等 , 最 重要 的 是 ,IT 和 OT 开发 了 几乎 完全 不 同 的 
方法 来 保证 安全 : IT 安全 主要 通过 打 补 本 和 频繁 更 新 的 方法 (需要 使 系统 脱 机 
的 能 力 ) ,OT 安全 主要 围绕 着 模糊 和 专业 化 (系统 需要 保持 在 线 , 来 判断 是 否 受 
到 影响 )。 在 物 联网 中 ,这 些 领域 动态 地 交互 。 

认识 到 IT 和 OT 在 设计 和 用 户 社区 模糊 地 传播 ,IT 和 OT 从 业者 基于 自 
己 的 考虑 和 经 验 , 试 图 说 服 他 们 的 同行 需要 适应 他 们 的 产权 、 文 化 和 使 用 方法 。 
证 据 表明 ,无 论 是 赞成 任何 一 种 观点 或 达成 平衡 ,这 些 努力 几乎 没有 取得 了 任何 
进展 。 由 于 物 联网 (无 论 其 特征 主要 面向 IT 还 是 OT) 继 续 沿 着 爆炸 趋势 扩散 ， 
需要 一 种 新 的 范式 来 描述 ,其 中 IT 和 OT 被 认为 是 一 个 集成 的 单一 概念 。 随 着 
时 间 的 推移 ,IT 和 OT 系统 在 物 联网 内 部 相互 作用 ,它们 越 来 越 多 地 呈现 彼此 
的 某 些 特质 , 变 得 不 能 清晰 地 定义 为 “ 纯 IT” 或 “ 纯 OT”。 技 术 将 引领 着 技术 运 
营 商 倾向 于 扩大 设备 使 用 的 界限 。 

为 了 理解 与 IoT 的 关系 ,重要 的 是 要 认识 到 设备 如 何 使 用 的 相似 性 和 差异 
性 ,而 非 判 断 设备 是 否 属于 IT 或 OT。 在 许多 情况 下 ,单个 技术 或 系统 可 以 用 
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于 许多 不 同 的 目的 。 例 如 ,现代 的 台式 计算 机 可 以 专用 于 支持 制造 功能 ,并 且 只 
要 它 与 较 大 的 IT 环境 隔离 , 它 就 可 以 在 更 长 的 时 间 段 内 安全 和 有 效 地 工作 ; 然 
而 ,如 果 该 设备 连接 到 互联 网 时 候 , 该 设备 的 操作 者 必须 认识 到 需要 接受 与 IT 
相关 的 安全 原则 和 实践 。 从 网 络 安全 的 角度 来 看 ,与 互联 网 连接 的 机 械 设备 变 
得 容易 受到 和 互联 网 相同 的 攻击 和 漏洞 利用 。 

物 联网 设备 趋向 于 有 目的 的 设计 和 不 同 领 域 的 机 械 设备 , 旨 在 跨越 经 典 的 
IT 和 OT 功能 ,清晰 地 证 明 其 是 否 属于 IT 或 OT 变 得 无 意义 或 不 可 能 。 如 果 
不 能 根据 现 有 规范 对 这 些 设 备 进行 分 类 ,那么 可 以 认为 ,该 技术 自身 就 是 一 种 学 
科 、 一 种 混合 技术 。 

认识 到 设备 的 混合 特性 提供 了 许多 优点 和 新 的 视野 。 在 基本 使 能 技术 和 设 
计 的 水 平 上 ,其 中 共性 是 最 大 的 ,可 以 定义 和 描述 最 有 益 于 安全 的 标准 和 设计 元 
素 ,通常 包括 在 本 地 网 络 上 使 用 基于 IT 的 标准 安全 包 , 网 络 端口 安全 技术 或 人 
侵 检测 技术 ,通过 这 种 混合 安全 方法 ,为 物 联 网 领域 实现 广泛 利益 提供 最 佳 机 
会 。 混 合 安全 机 制 的 目的 是 识别 和 处 理 所 有 IoT 设备 共有 的 安全 问题 ,而 不 管 
部 署 领域 或 最 终 用 户 , 这 将 允许 终端 用 户 和 应 用 程序 管理 员 专 注 自 己 领域 的 威 
胁 和 需求 。 这 种 混合 安全 机 制 将 作用 于 许多 设备 和 系统 的 整个 生命 周期 。 事 实 
上 ,IoT 将 会 逐步 发 展 起 来 ,并 在 人 口 统计 上 比 那些 在 某 些 领 域 已 经 发 展 很 好 的 
纯 IT 或 纯 OT 更 快 地 扩展 。 对 于 这 些 物 联网 设备 ,常见 的 安全 措施 将 带 来 最 大 
的 好 处 。 

站 在 终端 用 户 和 系统 部 署 的 层面 上 ,无论 是 制造 业 或 IT 网 络 运 营业 ,为 了 
满足 不 同 用 户 和 运营 商 的 需求 ,许多 设备 都 采用 特定 的 应 用 程序 和 特定 的 设置 。 
这 些 领域 特定 设备 的 安全 机 制 和 其 他 管理 决策 不 会 因为 出 现 混合 技术 而 改变 ， 
除非 随 着 时 间 的 推移 , 物 联网 技术 能 在 关注 安全 中 获 益 , 那 么 管理 者 有 可 能 会 接 
受 它 。 为 了 NS/EP 的 目的 ,可 以 在 确定 感 兴趣 和 责任 范围 内 的 NS/EP 领域 中 
部 署 和 定制 混合 安全 标准 和 实践 。 例 如 ,在 灾难 响应 中 使 用 的 IOT 设备 将 具有 
与 在 战斗 区 域 中 使 用 时 不 同 的 实用 性 和 安全 需要 。 安 全 机 制 应 适合 于 设备 和 特 
定 用 例 。 

在 操作 环境 中 ,终端 用 户 组 织 最 后 通常 是 选择 适应 新 技术 ,因为 技术 的 全 部 
效果 最 终 会 得 到 实现 .认可 和 评估 。 在 这 种 情况 下 ,紧急 需求 是 混合 安全 机 制 的 
重点 。 由 于 这 些 技 术 完全 是 OT 和 完全 是 IT 的 ,而 不 是 排他 性 的 ,因此 创建 管 
理 环境 和 方法 非常 重要 ,这 些 管 理 环境 和 方法 将 工业 和 网 络 运 营 的 所 有 需要 的 
考虑 和 文化 引入 到 安全 标准 和 实践 的 开发 及 管理 中 ,用 于 核心 混合 安全 技术 。 
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5. 不 断 演进 的 IoT 生态 系统 的 安全 性 


如 前 所 述 , 物 联网 将 对 NS/EP 产生 广泛 的 影响 。 庞 大 的 部 署 规模 和 设备 之 
间 无 处 不 在 的 连接 可 能 导致 在 响应 用 户 需求 之 前 发 生 迅 速 的 级 联 事件 。 生 态 系 
统 的 每 个 元 素 都 会 引入 额外 的 安全 风险 ,而 且 物 联网 设备 的 部 署 速度 要 快 于 这 
些 风险 的 可 理解 程度 。 在 这 种 环境 中 ,强调 集中 控制 或 侧重 于 单个 系统 的 网 络 
安全 处 理 已 经 不 足以 解决 物 联网 的 安全 性 和 灵活 性 。 物 联网 创造 了 对 端 到 端 生 


态 系统 实现 安全 性 和 弹性 的 新 方法 ,其 中 可 以 以 分 布 式 进行 自动 决策 ,并 使 用 约 
定 的 原则 ,实现 实时 响应 NS/EP 事件 。 
(1) 信用 


信用 涉及 从 设备 和 系统 到 数据 和 算法 的 整个 物 联网 生态 系统 。 它 还 包括 需 
要 一 致 和 可 靠 地 执行 一 定 级 别 的 安全 机 制 。 可 靠 性 将 随 设 备 和 使 用 的 变化 而 变 
化 ,但 NS/EP 应 用 需要 最 高 级 别 的 保证 。 在 分 布 式 环境 中 ,需要 通过 每 个 TOT 
开发 者 ,程序 员 或 安装 人 员 进 行 相 应 最 佳 实践 .原则 内 化 并 不 断 熟 练 来 实现 。 这 
意味 着 在 开发 和 部 署 物 联 网 生态 系统 时 ,需要 将 安全 处 理 推 向 生态 系统 的 每 一 
个 可 能 发 生 威 胁 的 元 素 。 纵 深 防御 通常 是 一 个 合理 的 行动 方式 ,系统 始终 秉持 
“不 信任 并 始终 验证 ?的 原则 ( 即 系统 不 应 该 信任 接收 的 数据 ,并 且 总 是 对 任何 连 
接 验证 ) ,这 种 思想 应 该 被 集成 到 物 联 网 生态 系统 的 设计 ,这 一 点 在 NS/EP 应 用 
中 显得 特别 重要 。 

相关 人 员 应 考虑 以 下 做 法 ,通过 调整 现 有 的 安全 设计 最 佳 实践 和 网 络 安全 
来 加 强 物 联 网 安全 : 

CD. 最 大 程度 地 减少 已 知 的 漏洞 并 降低 新 的 物 联网 设备 带 来 的 安全 风险 

物 联网 设备 的 功能 差异 很 大 ,从 简单 的 传感器 到 复杂 的 系统 ,潜在 风险 不 断 
变化 。 这 些 不 同类 别 系 统 的 设计 、 开 发 和 制造 中 的 设备 分 类 和 最 佳 实践 有 助 于 
在 其 整个 生命 周期 (包括 生产 周期 ) 中 最 大 程度 地 减少 已 知 漏洞 。 设备 应 尽 可 能 
设计 为 未 来 兼容 ,并 纳入 未 来 任何 生态 系统 升级 的 不 可 缺失 的 一 部 分 。 这 些 机 
制 可 以 根据 不 同类 别 的 物 联 网 设备 和 用 于 最 高 安全 级 别 的 NS/EP 关键 功能 的 
设备 而 变化 。 有 权限 设备 可 以 周期 性 地 发 送 升级 通知 ,或 者 能 够 学 习 新 的 算法 
以 改进 其 处 理 方式 。 

@ 识别 和 评估 现 有 IT/OT/IoT 部 署 的 安全 漏洞 ,并 为 NS/EP 制定 合适 的 
威胁 模型 

应 该 在 NS/EP 网 络 全 部 范围 风险 上 部 署 和 测试 这 种 威胁 模型 ,包括 依赖 性 
和 人 机 交互 界面 。 在 公共 网 络 上 越 来 越 多 地 使 用 不 安全 的 个 人 设备 连接 到 公共 
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基础 设施 网 络 中 ,这 将 会 产生 更 高 的 风险 , 物 联网 设备 的 普遍 存在 更 加 证 明了 进 
行 用 威胁 模型 分 析 的 重要 性 。 

© 为 具有 潜在 NS/EP 影响 的 数据 进行 分 类 以 实现 额外 的 安全 保护 

大 多 数 IoT 设备 通过 Internet 或 其 他 不 受 保护 的 网 络 运 行 ,其 中 许多 网 络 
的 存储 和 处 理 能 力 有 限 。 结 果 ,数据 需要 传输 到 中 央 节 点 进一步 处 理 ,这 增加 了 
数据 被 破坏 的 机 会 并 且 加 剧 了 数据 泄露 的 潜在 威胁 。 相 关 人 员 应 制定 合适 的 数 
据 分 类 ,确定 出 具有 不 同 保护 等 级 的 物 联 网 数据 。 

@ 创建 行为 和 功能 透明 的 IOT 系统 

具有 NS/EP 影响 的 IOT 设备 和 部 署 的 系统 应 该 具有 良好 的 理解 、 良 好 的 
文档 或 可 观察 的 特征 、 功 能 和 相互 依赖 性 。 

© 开发 可 以 共同 使 用 的 安全 和 信任 框架 ,以 实现 威胁 信息 共享 

IoT 可 以 提供 详细 信息 来 预测 和 防范 攻击 。 例 如 ,来 自 多 种 类 型 的 传感器 
的 信息 可 以 用 于 高 级 自动 化 威胁 诊断 的 数据 。 这 将 需要 可 以 共同 使 用 的 安全 和 
信任 框架 来 实现 协作 ,特别 是 在 司法 管辖 区 之 间 。 

© 探索 新 的 NS/EP 安全 模型 ,特别 是 在 生态 系统 层面 ,实现 可 自主 ,快速 
和 规模 化 地 做 出 安全 决策 

物 联 网 的 活力 为 现 有 安全 实践 引入 了 新 的 适应 性 要 求 。 例 如 ,作为 安全 设 
计 的 一 部 分 ,组 件 和 系统 必须 能 够 动态 地 学 习 和 检测 新 的 漏洞 ,并 且 如 果 必 要 的 
话 , 需 要 隔离 自己 。 此 外 ,对 单个 组 件 或 系统 级 别 的 安全 性 检查 已 远 远 不 够 了 。 
由 于 物 联网 的 连接 无 处 不 在 ,在 数据 生态 系统 中 探索 威胁 检测 并 实现 端 到 端 安 
全 的 技术 也 显得 至 关 重 要 。 最 后 ,由 于 IOT 设备 动态 变化 的 能 力 , 可 能 需要 它 
们 彼此 协作 以 为 整个 系统 提供 恰当 的 安全 级 别 。 

(2) 弹性 

政府 和 其 他 行业 必须 对 支持 NS/EP 功能 的 物 联网 系统 的 风险 进行 管理 。 
由 于 物 联网 刚刚 兴起 、 部 署 非常 快速 .设备 应 用 的 广度 和 多 样 性 、 实 际 和 潜在 供 
应 商 的 数量 庞大 以 及 缺乏 技术 标准 和 操作 程序 等 因素 , 物 联 网 的 安全 性 仍然 特 
别 难以 管控 。 因 此 , 物 联 网 的 安全 性 在 部 署 之 前 不 可 能 在 短期 内 确定 ,政府 应 制 
定 应 急 计划 ,解决 联邦 部 门 和 机 构 中 物 联网 的 部 署 问题 。 对 不 安全 环境 的 综合 
规划 应 再 考虑 一 些 其 他 的 技术 概念 ,如 上 述 的 可 升级 性 ,以 及 其 他 技术 ,包括 架 
构 ( 例 如 控制 平面 和 管理 平面 分 离 ) 以 及 政策 和 规划 工作 (例如 ,更 新 操作 的 连续 
性 /政府 的 连续 性 ) ,都 应 该 升级 更 新 以 提高 弹性 。 

在 事件 的 早期 阶段 ,可 能 难以 确定 是 否 发 生 网 络 攻击 或 故障 。 物 联网 需要 
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单一 或 一 系列 攻击 都 不 应 该 导致 生态 系统 的 灾难 性 故障 。 即 使 某 些 系统 受 损 ， 
生态 系统 都 必须 保持 运行 。 

为 此 , 物 联 网 系统 应 当 利 用 当前 在 线 服务 中 使 用 的 策略 。 例 如 ,系统 开发 人 
员 和 管理 员 可 以 部 署 测 量 和 报告 的 方法 ,收集 和 分 析 给 定 IOT 网 络 的 关键 性 能 
指标 。 这 样 的 过 程 对 于 应 用 IOT 的 扩展 层面 是 至 关 重 要 的 ,因为 它 将 有 助 于 减 
轻 系 统 产生 的 级 联 失效 ,其 可 以 包括 许多 自 适应 部 分 并 且 可 以 不 涉及 与 人 类 
交互 。 

在 生态 系统 中 共享 关于 物 联网 相关 事件 的 信息 也 是 非常 重要 的 。 在 一 个 互 
连 的 环境 中 ,系统 独立 地 做 出 决策 ,这 将 造成 对 较 大 网 络 造成 风险 的 结构 性 问 
题 。 诸 如 信息 共享 的 过 程 可 以 准确 定位 系统 损害 的 地 方 ,并 且 能 预先 做 出 调整 。 

(3) FA 

个 人 行为 在 任何 安全 框架 中 都 至 关 重 要 ;然而 ,由 于 物 联 网 设备 和 NS/ EP 
考虑 的 结合 ,使 得 这 种 情况 更 加 恶化 。 总 的 来 说 ,主要 来 自 两 个 方面 的 挑战 : 生 
态 系统 的 互联 性 和 扩大 的 攻击 面 。 因 此 ,任何 设备 都 可 以 成 为 进入 生态 系统 的 
潜在 来 源 和 增加 态势 感知 的 机 会 。 在 这 种 广泛 分 布 的 系统 中 ,个 人 对 威胁 和 风 
险 的 认识 以 及 安全 设备 的 使 用 是 风险 缓解 处 理 的 一 个 基本 要 素 。 同 时 ,消费 者 
的 需求 也 可 以 推动 市 场 需求 走向 更 高 安全 标准 的 物 联 网 设备 和 服务 。 

(4) 与 工业 界 合作 

凭借 物 联 网 带 来 的 巨大 经 济 机 会 ,包括 制造 能源、 交通 .通信 、 零 售 ` 医 疗 保 
健 和 城市 发 展 等 众多 行业 在 发 展 物 联网 创新 方面 均 处 于 领先 地 位 。 随 着 公司 认 
识 到 需要 开发 可 互 操作 的 平台 和 系统 ,形成 了 多 个 行业 联盟 (例如 ,开放 互联 网 
连接 联盟 和 工业 互联 网 联盟 ) 来 解决 生态 系统 和 不 同 部 门 的 不 同 问 题 。 政 府 需 
要 利用 这 一 创新 和 最 佳 实践 与 私营 部 门 合作 ,解决 物 联 网 对 NS/EP 的 影响 。 

(5) 物 联网 系统 的 自动 化 和 自 适应 特性 

物 联 网 系统 是 端 到 端的 ,不 仅 包括 传感器 和 设备 到 网 络 的 物理 连接 ,而 且 包 
括 用 于 分 析 数 据 的 软件 、 系 统 和 算法 。 这 些 系统 还 包括 通过 预先 编程 或 机 器 学 
习 算 法 ,由 对 象 展示 的 许多 自 适应 行为 。 虽 然 这 些 是 自动 化 的 ,但 是 它们 的 功能 
可 以 基于 机 器 学 习 算 法 进行 重新 配置 ,在 某 种 程度 上 引入 了 不 可 预测 性 。 各 种 
IoT 文献 将 这 些 系统 描述 为 自主 系统 。 物 联网 在 这 一 方面 引入 了 影响 NS/EP 
的 附加 威胁 因素 ,因为 系统 可 以 被 重新 编程 以 通过 特定 的 数据 输入 或 与 其 他 系 
统 的 交互 来 自动 改变 它们 的 行为 ,其 产生 的 影响 可 能 是 积极 的 (例如 ,对 威胁 或 
事件 更 快 的 反应 ) ,或 者 也 可 能 是 消极 的 (例如 ,可 能 发 生 难 以 控制 的 级 联 效 应 )。 
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在 最 坏 的 情况 下 ,这 样 的 系统 可 以 比 人 类 参与 更 快 地 引起 或 加 剧 威 胁 NS/EP 的 
事件 。 


6. 物 联 网 治理 注意 事项 


适当 的 治理 ,特别 是 通过 公私 合作 关系 发 展 ,对 于 确保 大 规模 系统 的 互 操作 
性 和 一 体 化 至 关 重 要 。 最 近 国家 标准 研究 所 (NIST) 网 络 安全 框架 和 为 第 44 届 
总 统 拟 定 的 网 络 安全 委员 会 报告 就 是 一 个 比较 好 的 例子 。 物 联网 将 同样 需要 治 
理 并 且 也 需要 这 种 公私 合作 关系 ,但 是 需要 特别 紧迫 ,因为 这 是 物 联 网 设备 的 快速 
采用 和 这 种 现象 对 NS/EP 影响 的 结合 。 物 联网 需要 比 规范 更 快 地 制定 治理 和 政 
策 结构 。 此 外 ,由 于 物 联 网 是 全 球 性 的 、 无 边界 的 ,良好 的 治理 需要 国际 参与 。 

(1) 政策 审查 周期 

技术 通常 比 政策 发 展 更 快 ,这 使 得 在 技术 现状 和 政策 发 展 之 间 会 存在 空白 ; 
然而 , 物 联网 比 以 前 的 技术 发 展 更 快 ,这 种 差距 显得 更 大 ,渐渐 变 成 一 条 不 可 逾 
越 的 鸿沟 。 例 如 ,隐私 问题 就 是 因为 数据 采集 增加 和 新 技术 部 署 引 起 的 ,但 却 没 
有 关于 安全 性 和 用 户 隐 私 的 相关 的 已 建立 的 政策 。 

如 上 所 述 ,预计 未 来 几 年 内 , 物 联 网 的 使 用 将 达到 500 亿 台 机 器 和 设备 。 这 
类 似 于 1994 年 蜂窝 移动 业务 的 状态 ,当时 蜂窝 移动 电话 被 广泛 使 用 ,但 仍然 不 
可 能 预见 未 来 的 变化 ;而 类 似 地 , 物 联网 的 使 用 将 明显 快 于 手机 的 使 用 。 政 府 仍 
在 努力 制定 政策 以 解决 手机 使 用 的 增长 ,而 物 联网 政策 已 经 远 远 落 后 。 重 要 的 
是 ,许多 提供 与 网 络 安全 相关 的 战略 方向 的 国家 级 文件 没有 涉及 甚至 没有 提 及 
物 联 网 。 政 府 必须 迅速 采取 行动 ,解决 这 项 技术 将 带 来 的 威胁 和 脆弱 性 ,鼓励 物 
联网 创新 ,实现 持续 的 经 济 增长 。 

随 着 国家 政策 滞后 ,政府 不 能 依靠 现 有 的 政策 发 展 机 制 ,而 是 必须 寻求 新 的 
方法 ,比如 利用 私营 部 门 获 得 的 知识 ,特别 是 有 关 新 兴 先 进 技术 的 知识 来 制定 物 
联网 政策 。 政 府 可 以 通过 召集 专家 建立 联盟 或 机 构 , 为 联邦 政策 以 及 私人 安全 
最 佳 做 法 和 管理 方法 提供 指导 ,从 而 实现 最 好 的 效益 。 此 外 ,由 特定 利益 群体 组 
成 的 现 有 财团 应 考虑 跨 部 门 合 作 , 并 接受 企业 级 与 国家 安全 的 顶级 架构 指导 。 
政府 在 促进 这 种 跨 职能 工作 方面 具有 独特 的 优势 。 对 于 物 联网 ,有 效 的 方法 可 
能 是 通过 关注 案例 研究 .提供 关于 IOT 如 何在 不 同行 业 得 到 解决 的 最 佳 实践 和 
成 功 案 例 , 然 后 评估 对 NS/EP 的 影响 。 

(2) 治理 结构 

国家 网 络 环境 的 安全 需要 基于 共识 的 标准 、 最 佳 实践 以 及 在 各 种 环境 中 应 
用 的 指导 。 这 些 将 需要 与 可 信和 有 价值 的 信息 共享 协作 机 制 相 结 合 ,以 便 尽 可 
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能 快 地 识别 和 应 对 不 可 避免 的 缺陷 。 至 关 重要 的 是 ,政府 必须 建立 一 个 权威 的 
机 构 , 同 时 ,应 该 利用 相关 领域 的 专家 进行 决策 来 应 用 网 络 安全 的 已 知 标准 、 实 
践 和 其 他 准则 。NIST 负责 为 民事 部 门 和 机 构 制 定 和 应 用 联邦 计算 机 安全 标准 
和 方案 ,国家 安全 局 负责 国家 安全 部 门 .机 构 和 系统 ;然而 ,私营 部 门 没有 类 似 的 
信息 系统 安全 联络 点 。 事 实 上 ,有 许多 从 事 网 络 安全 领域 的 公司 和 组 织 为 业主 、 
运营 商 和 用 户 提供 建议 ,这 些 公司 和 组 织 对 许多 用 户 和 中 小 企业 来 说 是 几乎 不 
可 见 的 。 

2013 年 2 月 发 布 的 行政 命令 (EO)13636 号 文件 (改进 关键 基础 设施 ) 已 成 
为 私营 企业 和 公共 部 门 合作 开发 网 络 安全 框架 的 协调 中 心 之 一 。 由 NIST 制定 
的 安全 框架 为 将 风险 管理 实践 和 现 有 网 络 安全 与 隐私 标准 应 用 于 一 系列 操作 环 
境 提 供 了 广泛 的 指导 。 

然而 ,该 安全 框架 并 不 为 具体 情况 提供 细节 指导 ,而 是 由 选择 使 用 它 的 组 织 
掌握 。 一 些 部 门 组 织 已 经 开始 根据 其 部 门 的 需要 填补 这 一 空白 ,但 这 也 将 需要 
每 个 组 织 稳固 其 自己 独特 的 系统 。 

这 些 努 力 正在 网 络 空间 领域 取得 一 些 成 就 ,但 进展 缓慢 。 然 而 ,如 今 的 网 络 
安全 环境 表明 ,如果 在 部 署 物 联网 早期 未 考虑 安全 性 和 隐私 ,那么 之 后 考虑 安全 
将 更 加 困难 和 且 付出 的 成 本 更 大 ; 相 比 之 下 ,提前 考虑 到 安全 性 则 可 以 节约 很 
多 成 本 ,并且 在 早期 考虑 和 规避 那些 不 可 避免 的 风险 ,往往 会 有 更 多 的 设备 选择 
余地 。 一 个 鼓励 生产 和 采用 网 络 设备 与 系统 的 强大 的 私营 部 门 主导 机 制 , 可 以 
提高 国家 的 安全 和 隐私 。 

(3) 隐私 注意 事项 

现 有 的 数据 隐私 标准 和 概念 不 能 很 好 地 转化 到 物 联网 环境 中 , 物 联网 环境 
中 由 于 无 所 不 在 的 网 络 连接 ,数据 的 可 访问 性 可 能 已 经 扩展 到 了 多 个 相关 的 社区 ， 
数据 生成 设备 的 激增 具有 显著 的 益处 ,但 也 易 受 恶意 破坏 或 其 他 未 预料 到 的 影响 。 

Hewlett-Packard 最 近 的 一 项 研究 发 现 ,90% 以 上 的 物 联 网 设备 都 至 少 收集 
了 一 条 个 人 信息 。 在 这 些 设备 中 ,80% 的 设备 未 能 使 用 足够 的 身份 验证 。 此 外 ， 
70% 的 测试 设备 在 传输 此 数据 时 不 使 用 加 密 ,从 而 该 设备 下 载 的 数据 可 能 被 拦 
截 、 查 看 和 修改 。 传 感 器 可 以 聚合 个 人 的 大 量 数据 ,对 于 营销 和 企业 工作 以 及 
医学 和 行为 研究 等 具有 巨大 的 价值 。 

然而 ,也 存在 更 多 恶意 使 用 数据 的 案例 。 当 没有 感知 或 同意 收集 数据 时 ,人 
们 可 能 不 知道 企业 和 政府 可 以 得 出 的 关于 他 们 的 生活 习惯 等 各 种 的 数据 ;此 
外 , 当 数 据 大 规模 聚合 时 ,看 起 来 无 害 的 数据 元 素 可 以 被 组 合成 前 所 未 见 规模 上 
的 身份 盗窃 。 同 时 ,聚合 的 地 理 位 置 数据 也 使 得 个 人 ,包括 国家 领导 人 被 跟踪 。 
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隐私 设计 是 解决 这 些 问 题 的 一 种 方式 。 隐 私 设 计 是 在 项 目 启 动 时 建立 的 隐 
私 管理 方案 ,允许 在 收集 数据 时 匿名 化 数据 ,并 向 用 户 提供 有 关 收 集 的 数据 及 其 
对 该 收集 的 数据 的 控制 信息 。 通 过 对 收集 的 数据 匿名 以 保护 隐私 ,同时 有 利于 
其 他 聚合 分 析 。 应 急救 助人 员 ,交通 工程 师 和 其 他 组 织 可 以 使 用 这 些 数据 来 惠 
及 整个 社会 。 

用 户 隐 私 与 NS/EP 有 着 重要 的 联系 ,这 个 问题 正 通过 其 他 领域 隐私 研究 和 
举措 得 到 解决 。NIST 已 经 开始 实施 隐私 工程 计划 ,有 助 于 从 面向 过 程 的 原则 
(如 与 公平 信息 实践 原则 (FIPPS) 相 关 的 原则 ) 转 变 为 风险 管理 框架 。 这 是 政府 
和 私营 部 门 合作 制定 治理 规范 的 一 个 极 好 的 例子 。 

(4) NS/EP 通信 的 弹性 和 优先 级 

国家 安全 应急 准备 .关键 基础 设施 和 关键 资源 (CIKR) 用 例 的 NS/EP 通信 
由 于 物 联网 的 发 展 滋生 出 许多 独特 的 能 力 和 挑战 。 现 有 的 NS/EP 通信 服务 , 包 
括 电信 优先 服务 (TSP) .无 线 优 先 服务 (WPS) .政府 紧急 电信 服务 (GETS) 和 特 
殊 路 由 接 入 服务 (SRAS) ,都 需要 重新 考虑 物 联 网 的 独特 属性 。 政 府 需 要 处 理 
的 一 些 问 题 包括 : 

如 果 IoT 设备 连接 到 有 线 或 无 线 网 络 并 日 NS/EP 扮演 重要 的 角色 (例如 传 
感 器 /处 理 器 ) ,那么 该 设备 如 何 验证 并 接收 网 络 优先 级 ? 是 否 应 该 验证 ? 

TSP 优先 级 供应 .恢复 和 SRAS 中 继 分 配 是 物理 的 .基于 电路 的 平台 和 技 
术 , 因 此 ,如 何 建立 和 维护 与 IoT 端点 的 连接 ? 如 何 设 置 优先 级 ? 
虽然 在 下 一 代 网 络 优先 服务 (NGN-PS) 中 考虑 了 数据 服务 ,但 是 如 何 评估 
在 NS/EP 功能 中 运行 的 自 适应 的 处 理 器 和 传感器 的 独特 属性 ? 

考虑 到 通信 技术 迅速 变革 ,政府 提出 了 《国家 安全 和 应 急 通信 职能 分 配 指 
&)CEO 13618) ,该 指令 指出 :国家 安全 和 应 急 通 信 执 行 委员 会 的 职责 是 ,通过 
PPD-1 程序 向 总 统 提 出 可 行 建议 并 推荐 有 效 政策 ,以 提升 NS/EP 通信 的 生存 
性 、 弹 性 和 未 来 架构 ,包括 应 构成 NS/EP 通信 要 求 的 内 容 。 

通过 一 种 基于 IP 协议 的 网 络 技术 提供 端 到 端 语音 、 视 频 和 数据 服务 的 通用 
通信 的 演进 为 确保 现 有 NS/EP 优先 通信 程序 的 功能 创造 了 新 的 机 会 和 挑战 。 
随 着 通信 行业 发 展 ,技术 不 断 改进 ,运营 成 本 不 断 降低 ,提供 更 大 的 带宽 和 更 多 
的 网 络 服务 ,政府 仍 必 须 履行 EO 13618 中 关于 国家 领导 人 、 联 邦 、. 州 .地 方 政府 
和 其 他 授权 的 NS/EP 用 户 的 责任 。 现 有 保护 程序 首要 目标 是 在 网 络 拥塞 的 情 
况 下 为 NS/EP 提供 网 络 恢复 和 更 好 的 网 络 访问 。 

关于 NS/EP 电信 优先 服务 及 其 相关 联 的 身份 管理 架构 ,IOT 设备 目前 无 
法 利用 现 有 或 计划 的 GET/SRAS 个 人 识别 号 码 验证 的 NGN-PS 功能 ,但 是 可 
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以 使 用 WPS 订阅 。 为 了 支持 物 联网 ,政府 应 审查 NS/EP 政策 ,包括 对 设备 、 终 
端 进行 NGN-PS 授权 ,会 话 建立 、 认 证 和 终止 。 

国土 安全 部 紧急 通信 办 公 室 (OEC) 已 经 建立 了 一 个 合同 机 制 ,支持 NGN- 
PS 解决 方案 以 应 对 物 联网 等 挑战 。 为 了 进一步 研究 如 何 将 物 联网 纳入 优先 服 
务 ,NS/EP 通信 执行 委员 会 和 OEC 应 扩展 NS/EP 通信 要 求 ,检查 物 联 网 的 影 
响 ,包括 设 备 .终端 NGN-PS 授权 、 会 话 建 立 和 认证 等 所 有 方面 。 

在 这 方面 , 物 联 网 的 一 个 主要 驱动 力 是 制定 开放 的 .自愿 的 和 基于 共识 的 标 
准 。 正 在 进行 的 和 未 来 关于 标准 化 的 努力 使 物 联 网 成 功 将 贯穿 整个 市 场 ,并 将 
涵盖 从 总 体 方案 到 具体 技术 标准 ,确保 增强 的 互 操作 性 以 及 向 后 兼容 性 。 重 要 
的 是 ,这 些 标准 能 够 根据 相关 人 员 的 专业 知识 ,动态 地 适应 需求 的 变化 。 许 多 解 
决 行业 共识 需求 的 标准 化 努力 ,以 及 未 来 的 努力 ,将 有 助 于 可 互 操 作 的 物 联 网 的 
发 展 。 这 些 标准 化 的 努力 为 政府 提供 了 一 个 机 会 以 加 快 物 联网 在 国家 安全 、 应 
急 准 备 和 CIKR 使 用 案例 中 的 发 展 。 尽 管 不 是 特定 于 NS/EP 通信 ,但 诸如 电信 
工业 协会 研究 标准 TR-50 机 到 机 (M2M) (智能 设备 通信 ) 的 标准 化 努力 是 一 个 
很 好 的 示例 。 另 一 个 例子 是 one M2M, 致 力 于 开发 技术 规范 ,以 解决 对 可 以 容 
易 地 腻 入 在 各 种 硬件 和 软件 元 素 中 的 公共 M2M 服务 层 的 需求 ,以 及 许多 其 他 

标准 化 是 一 种 经 济 自律 的 形式 ,可 以 减轻 政府 制定 详细 技术 规范 的 责任 , 同 
时 确保 自愿 的 .协商 一 致 的 标准 符合 公共 利益 ,节省 可 用 于 以 其 他 方式 为 公众 服 
务 的 资源 。 通 过 采取 这 种 方法 ,政府 决策 者 可 以 在 私营 部 门 专家 的 协助 下 使 用 
标准 作为 科学 和 技术 信息 开发 的 宝贵 来 源 。 组 织 机 构 还 可 以 使 用 这 些 标 准 作为 
高 级 技术 信息 的 资源 ,而 无 须 该 地 区 研究 的 第 一 手 资料 。 

物 联 网 将 显著 依赖 于 最 大 化 连接 的 连续 性 。 此 外 , 随 着 世界 连接 的 方式 迅 
速 变 为 无 线 , 建 立 适当 的 频谱 策略 对 于 确保 物 联网 的 安全 至 关 重 要 。 无 线 连接 
正在 成 为 消费 者 接 入 因特网 的 方式 ,主要 技术 有 LTE、Wi-Fi 和 卫星 技术 等 。 传 
统 Wi-Fi 也 会 因为 其 低 成 本 和 在 市 场 的 广泛 使 用 而 在 物 联 网 部 署 中 发 挥 关键 作 
用 。 有 效 的 风险 管理 将 需要 仔细 检查 网 络 连接 ,以 确保 其 安全 性 和 可 靠 性 。 在 
检查 用 于 NS/EP 通信 的 物 联 网 系统 的 风险 分 类 时 ,确保 考虑 适当 的 网 络 技术 至 
关 重 要 。 包 括 使 用 许可 的 无 线 频谱 、 优 先 级 (QoS) 与 最 佳 效果 连接 ,有线 与 无 
线 ,私人 线路 的 虚拟 专用 网 络 与 公共 网 络 。 

未 来 物 联网 将 可 能 基于 异 构 网 络 , 由 此 设备 可 以 顺序 地 或 同时 使 用 有 线 或 
无 线 网 络 技术 。 这 也 抛 出 了 另外 一 些 话题 :如 何 通过 网 络 去 度量 NS/EP 物 联 网 
通信 ,可 能 需要 一 些 措施 去 保障 NS/EP 物 联 网 通信 。 
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7. 物 联 网 机 构 支 持 与 结构 


物 联 网 部 署 的 步伐 以 及 对 美国 社会 的 影响 突出 了 对 物 联网 对 NS/EP 的 影 
响 , 需 要 制度 和 程序 来 使 得 物 联 网 技术 的 潜在 利益 得 到 保障 并 最 小 化 风险 ; 然 
而 ,这 种 制度 程序 到 今天 没有 充分 确立 。 仍 然 缺 乏 对 IoT 这 个 术语 的 共同 定义 
和 理解 ,未 能 产生 协作 的 工作 流 , 物 联网 未 得 到 充分 了 解 ,其 影响 未 得 到 广泛 认 
可 。 物 联网 的 教育 .培训 和 认 知 不 成 熟 , 研 发 不 协调 ,没有 统一 的 与 NS/EP 用 途 
相关 的 国家 优先 级 。 在 美国 , 物 联 网 的 发 展 影响 着 全 球 研发 和 标准 ,并 受 其 影响 。 

CD 在 NS/EP 背 景 下 的 物 联 网 教育 .培训 和 认 知 
虽然 物 联网 是 一 个 相对 较 新 的 术语 ,但 在 NS/EP 背景 下 ,人 们 对 于 CPS, 
ICS 和 SCADA 系统 相关 的 教育 .培训 和 认 知 特别 感 兴 趣 。ICS 和 IT 系统 的 集 
成 造成 了 缺乏 训练 有 素 的 同时 具备 OT 和 IT 技术 的 综合 能 力 的 专业 人 员 , 因 此 
教育 计划 也 应 该 升级 。 

学 术 界 正 开始 将 IoT 和 CPS 概念 引入 工程 .计算 机 科学 、 信 息 科 学 .数据 科 
学 和 网 络 安全 相关 课程 ,但 是 ,项 目 还 处 于 早期 阶段 。 值 得 关注 的 是 , 随 着 物 联 
网 的 不 断 出 现 和 扩展 ,操作 的 复杂 性 越 来 越 高 ,因为 处 于 退休 年 龄 的 工作 人 员 超 
过 了 在 工程 领域 的 美国 学 生 的 比率 ,了 解 工业 领域 复杂 系统 的 人 大 量 退 休 , 同 时 
工程 学 位 的 学 生 入 学 率 正在 下 降 。 

在 美国 大 学 的 研究 人 员 和 研究 机 构 的 专家 正在 研究 这 种 不 断 发 展 的 技术 对 
网 络 安全 的 影响 ,NIST 网 络 物理 系统 公开 工作 小 组 也 是 如 此 。 可 利用 国家 对 
网 络 空 间 教育 (NICE) 劳 动力 框架 倡议 ,进一步 引起 全 国 对 物 联网 机 遇 和 挑战 的 
关注 。NICE 组 件 1: 国 家 网 络 安全 意识 领导 :DHS; 组 件 2: 正 式 网 络 安全 教育 
共同 领导 教育 部 和 国家 科学 基金 会 都 是 已 经 实施 的 方案 的 示例 ,可 以 升级 这 些 
方案 以 创建 更 强大 的 教育 和 认 知 方案 ,包括 物 联网 在 内 。 

许多 特定 业务 部 门 (包括 运输 和 电力 ) 的 网 络 安全 专家 认识 到 新 兴 物 联网 技 
术 的 优势 和 其 在 关键 基础 设施 部 门 的 潜在 脆弱 性 ;然而 ,一 些 人 没有 对 物 联网 完 
全 感知 ,可 能 更 加 热衷 于 物 联网 技术 的 新 功能 ,并 且 不 了 解 其 可 能 带 来 的 风险 。 
因此 ,需要 从 许多 层面 提高 公众 对 物 联 网 的 利益 和 风险 的 认识 ,无 论 是 公民 还 是 
国家 立法 者 ,对 领导 者 和 决策 者 来 说 ,了 解 使 用 物 联 网 技术 的 影响 尤为 重要 。 在 
联邦 机 构 ,许多 物 联网 相关 的 工作 正在 进行 .特别 是 那些 与 移动 网 络 连接 的 部 
分 ;然而 ,它们 没有 出 现 很 好 的 协调 ,以 分 担 与 物 联网 相关 的 安全 隐患 。 此 外 , 没 
有 用 于 收集 或 分 享有 关 新 兴 技术 的 经 验 教 训 的 资料 储存 库 ( 在 政府 或 各 个 行业 
中 ) ,这 种 资料 库 对 于 制定 NS/EP 系统 的 协调 方案 是 有 用 的 。 
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虽然 物 联 网 涉及 的 技术 很 深奥 ,但 物 联 网 对 用 户 来 说 是 友好 的 。 政 府 员工 
和 公众 在 使 用 物 联 网 设备 的 时 候 , 通 常 不 用 了 解 或 关心 支持 设备 功能 的 技术 细 
节 。 上 述 物 联网 面临 的 挑战 是 非常 复杂 的 ,因为 用 户 不 可 能 知道 与 新 功能 相关 
的 风险 ,直到 有 人 受 其 影响 。 物 联网 创新 的 功能 会 激励 买 家 的 购买 欲望 ,然而 ， 
当 越 来 越 多 的 消费 者 了 解 和 意识 到 物 联网 的 风险 后 ,他 们 就 会 帮助 推动 市 场 采 
用 更 好 安全 性 、 更 好 隐私 性 和 弹性 的 物 联 网 标准 和 解决 方案 。 

(2) 研究 与 发 展 

不 同 于 已 建立 的 架构 , 它 的 设计 和 操作 都 已 经 被 很 好 地 记录 , 物 联 网 还 在 进 
化 中 。 单 个 的 物 联网 技术 和 系统 已 经 存在 ,但 目前 还 没有 基于 标准 化 的 .国家 安全 
系统 支持 的 大 规模 的 物 联 网 的 部 署 。 尽 管 物 联 网 有 巨大 潜力 ,在 某 些 技术 有 重大 
进展 ,但 是 美国 仍然 缺乏 一 个 集成 的 视角 来 实现 集成 的 .基于 标准 的 物 联网 系统 。 

在 系统 层面 的 物 联 网 研究 仍 处 于 早期 阶段 。 目 前 的 大 多 数 研究 发 展 在 相对 
狭窄 的 .工业 和 学 术 界 的 特定 场所 。 这 种 研究 通常 被 划分 为 传统 的 学 科 , 如 传 感 
器 .通信 、 操 作 技术 和 能 源 效率 。 职 工 教育 和 专业 知识 的 以 相对 的 零散 状态 存 
在 ,这 些 因素 给 未 来 的 物 联网 系统 的 设计 提出 了 一 个 艰难 的 挑战 。 

为 了 构建 一 个 无 处 不 在 的 .可 靠 的 ,安全 的 大 规模 互联 的 物 联网 系统 的 视 
ff ,确保 被 个 人 组织、 市 政府 和 政府 的 广泛 接受 ,连贯 的 符合 国家 战略 的 多 学 科 
研究 是 一 件 很 有 必要 的 工作 。 一 些 关键 的 研究 领域 涉及 物 联 网 架构 ,包括 标准 、 
识别 .安全 、 隐 私 技术 以 及 实践 和 网 络 管理 技术 。 

O 物 联 网 架构 

对 架构 .接口 和 整合 的 无 颖 架构 的 接口 和 网 络 、 传 感 器 .控制 以 及 计算 的 抽 
象 的 创新 方法 ,以 及 异 构 的 物 联网 系统 部 署 必须 被 快速 开发 。 例 如 ,在 通信 网 
络 ,接口 在 不 同 的 层 之 间 已 被 标准 化 。 接 口 的 抽象 ,使 得 每 一 层 的 部 署 独立 于 其 
余部 分 的 系统 。 这 个 方法 允许 系统 由 独立 开发 的 组 件 、 开 放 的 创新 机 会 和 快速 
扩散 的 机 会 以 及 发 展 的 互联 网 组 成 。 在 物 联 网 空间 ,已 有 的 工具 、 做 法 和 标准 不 
支持 常规 的 模块 化 设计 和 发 展 。 标 准 化 的 架构 .接口 ,模型 和 抽象 要 求 支持 敏捷 
开发 .认证 和 验证 、 互 操作 性 以 及 物 联 网 系统 的 创新 。 全 球 的 物 联网 性 质 指出 ， 
需要 的 标准 ,包括 分 层 的 或 可 扩展 的 信任 级 别 。 此 外 ,在 传统 的 设备 管理 ,特别 
是 在 工业 环境 中 还 需要 进一步 的 研究 。 一 些 现 有 的 物 联网 设备 ,特别 是 在 曾经 
的 工业 环境 中 ,很 少 重新 启动 或 修补 。 研 究 是 一 种 必要 的 安全 保护 技术 来 保护 
这 种 长 期 运行 的 设备 。 

© 标准 

标准 提供 一 个 基本 的 互 操作 性 , 它 是 物 联网 的 价值 命题 的 本 质 。 有 几 种 类 
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型 的 互 操 作 性 ,包括 技术 、 句 法、 语义、 组 织 . 静 态 和 动态 。 所 有 的 这 些 互 操作 性 
的 形式 要 求 有 效 地 把 物 联 网 集成 到 NS/ EP 系统 和 操作 中 来 。 

物 联网 技术 支持 的 NS/EP 系统 应 基于 开放 式 架构 来 最 大 限度 地 提高 异 构 
系统 和 分 布 式 资源 之 间 的 互 操作 性 ,这 些 资源 包括 信息 和 服务 的 供应 商 和 消费 
者 ,不 管 是 人 、 软 件 、 智 能 对 象 或 设备 。 因 此 ,标准 组 织 应 为 物 联网 系统 制定 通用 
的 NS/EP 安全 参考 的 模型 .体系 结构 和 接口 。 

定义 技术 和 掌控 互联 以 及 信息 传递 接口 的 逻辑 状态 标准 将 需要 被 采用 ,来 
符合 所 需 的 互 操作 性 水 平 。 标 准将 需要 数据 编码 的 开发 ,空气 接口 ,测试 ,安全 
性 , 功 耗 和 功 耗 ,安全 性 等 其 他 功能 。 联 邦 政府 将 需要 参与 到 标准 设置 组 (国家 
和 国际 ) 来 促进 支持 NS/EP 识别 的 物 联 网 系统 标准 的 发 展 。 

© 身份 验证 ,安全 和 隐私 技术 以 及 实践 

全 球 通信 网 络 正在 不 断 发 展 , 以 适应 新 兴 的 物 联 网 技术 的 发 展 。 然 而 ,在 全 
球 范围 内 对 技术 操作 性 的 识别 和 认证 技术 的 进一步 提高 的 研究 是 必要 的 。 

隐私 和 保密 性 问题 的 研究 ,以 及 身份 和 匿名 部 署 的 技术 测试 是 很 有 必要 的 。 
例如 ,一 个 设备 可 以 被 证 明 是 一 个 没有 被 揭示 的 独特 的 身份 性 质 组 的 一 部 分 。 
同样 ,该 技术 可 以 用 来 验证 一 个 人 是 一 个 小 组 的 一 部 分 ,而 不 用 透露 身份 (例如 
授权 驱动 程序 ) 。 也 应 该 进行 适当 的 证 书 管理 机 构 的 探索 。 

未 预计 后 果 的 相关 物 联 网 系统 的 部 署 可 能 会 导致 大 量 的 数据 产生 许多 不 同 
的 来 源 , 并 增加 内 部 连接 和 数据 保留 。 在 物 联 网 环境 中 ,每 一 个 节点 都 可 以 连接 
到 全 球 互联 网 ,并 能 够 与 其 他 节点 进行 通信 ,这 也 会 创建 新 的 安全 和 隐私 问题 ， 
如 数据 收集 的 保密 性 、 真 实 性 和 完整 性 以 及 物 联网 网 络 的 交换 。 

@ 网 络 管理 技术 

与 国家 生态 系统 交互 的 物 联 网 网 络 的 设计 和 实现 提出 了 几 个 挑战 ,这 些 挑 
战 与 实时 操作 ,可 靠 性 、 安 全 性 ,应 用 以 及 异 构 系统 的 互联 互通 有 关 。 物 联网 网 
络 管理 系统 必须 监控 参数 ,如 交通 流量 和 大 规模 实时 系统 和 系统 的 拥塞 、 稳 定性 
和 可 用 性 安全 。 网 络 管理 技术 将 需要 对 潜在 的 网 络 上 可 见 并 检查 运行 在 其 上 的 
进程 ,无 论 设备 .协议 或 地 理 位置 。 一 个 特别 的 研究 重点 应 该 是 在 使 用 在 网 络 操 
作 优化 和 网 络 攻击 检测 上 的 预测 分 析 。 

(3) 国际 影响 

物 联网 是 一 个 全 球 性 的 现象 ,需要 全 球 参与 研究 和 开发 ,并 标准 化 地 发 展 。 
美国 需要 积极 参与 国际 活动 ,以 跟 上 步伐 和 领先 的 进步 和 不 断 发 展 的 标准 。 

如 前 所 述 , 物 联网 以 加 速 的 M2M 业务 带 来 全 球 影响 力 的 提升 。 然 而 ， 
M2M 的 当前 标准 缺乏 全 面 的 端 到 端的 视图 M2M 生态 系统 。 多 个 标准 的 机 构 
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存在 ,缺乏 细节 ,并 没有 解决 终端 到 终端 的 观点 。 但 是 ,标准 往往 是 非常 具体 的 
和 专注 于 一 个 特定 的 技术 。 例 如 ,第 三 代 合作 伙伴 关系 项 目 安全 体系 结构 3 专 
注 于 具有 用 户 标识 模块 的 连接 设备 之 间 的 接口 的 安全 (例如 ,通用 集成 电路 卡 ) 
和 移动 接 入 技术 。 欧 洲 电 信 标 准 协会 ,作为 one M2M 成 员 , 采 取 的 是 自 上 而 下 
的 方法 定义 服务 创建 设备 。 他 们 定义 网 络 需求 .访问 技术 和 实际 上 是 在 其 他 标 
准 组 织 或 论坛 范围 内 运行 的 设备 。 实 际 上 在 这 些 领域 的 影响 仍然 有 待 确定 。 一 
个 全 面 的 协议 和 不 可 知 论 者 的 标准 将 有 助 于 使 设备 更 易于 开发 和 认证 认识 。 

全 球 M2M 连接 ,连接 的 移动 设备 在 不 同 运营 商 和 边界 是 具有 挑战 性 的 , 需 
要 一 个 集成 的 解决 方案 。 这 些 挑战 包括 部 署 、 配 置 、 重 新 配置 的 SIM 卡 定位 和 
远程 管理 。 此 外 ,自动 化 计 费 、 报 告 .支持 和 运营 管理 流程 与 运营 商 不 同 ,并 向 主 
机 平台 提供 程序 引入 更 复杂 的 要 求 。 目 前 ,(OTA) 措 施 覆 盖 后 端 安全 数据 的 生 
成 和 管理 ,提供 最 高 安全 级 别 ,但 这 些 平台 是 专 为 在 网 络 内 的 本 地 服务 而 设计 
WY. OTA 不 会 总 是 在 漫游 服务 工作 ,可 能 不 符合 区 域 规定 、 性 能 标准 和 消费 者 
的 需求 。 为 了 实现 物 联网 的 全 部 效益 和 潜力 ,并 点 亮 它 的 全 球 范围 内 的 效应 , 需 
要 有 一 个 互 操作 的 技术 和 适当 政策 讨论 的 国际 论坛 。 


8. 结论 及 建议 


存在 一 个 较 小 的 并 且 迅 速 的 关闭 窗口 ,以 一 种 最 大 化 安全 性 和 最 大 限度 地 
减少 风险 的 方式 控制 物 联网 。 如 果 国 家 不 这 样 做 , 它 将 应 对 生成 的 后 果 。 物 联 
网 的 许多 好 处 已 经 可 以 看 到 ,包括 效率 的 提升 .故障 的 早期 发 现 、 可 靠 性 和 应 变 
能 力 的 提升 。 但 是 ,新 设备 的 快速 和 大 量 的 连接 带 来 了 它 的 风险 ,包括 新 的 攻击 
向 量 、 新 的 漏洞 ,也 许 最 让 人 关心 的 是 ,拥有 用 远程 访问 的 能 力 从 而 造成 物理 破 
坏 这 个 问题 。 

爆炸 式 增长 以 及 与 物 联 网 的 互联 创造 了 一 个 NS/EP 议题 。 数 十 亿 的 物 联 
网 设备 (例如 传感器 .处 理 器 和 执行 器 ) ,在 一 个 封闭 的 网 络 中 ,有 时 通过 更 广泛 
的 互联 网 ,可 以 与 其 他 每 个 设备 进行 通信 ,可 以 直接 进入 我 们 国家 的 关键 基础 设 
施 系统 。 此 外 ,许多 个 人 和 消费 者 的 设备 将 连接 到 网 络 , 这 些 网 络 有 一 些 连接 到 
关键 系统 ,往往 在 不 知情 的 情况 下 ,为 对 手 创 造 新 的 攻击 途径 。 此 外 ,以 史 为 鉴 ， 
支持 许多 个 人 设备 的 技术 将 会 集成 到 关键 系统 的 设备 中 。 

美国 目前 面临 的 网 络 安全 问题 ,在 某 些 方面 ,类 似 于 掌控 互联 网 协议 发 展 的 
那个 时 代 , 那 时 候 , 安 全 并 不 是 一 个 重要 的 考虑 。 在 时 间 上 ,互联 网 的 普遍 使 用 
的 ,从 商业 到 全 球 通信 甚至 到 生命 维持 ,这 种 大 规模 范围 是 不 可 想象 的 。 有 早期 
的 设计 师 的 互联 网 设想 了 这 一 点 , 毫 无 疑问 ,他 们 会 有 更 高 的 安全 优先 级 。 今 
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天 ,国家 现在 站 在 一 个 相似 的 改革 边缘 ,这 些 改革 包括 如 何 与 设备 交互 以 及 它们 
将 如 何 为 我 们 服务 。 但 是 ,如 果 安 全 不 作为 一 个 核心 被 考虑 ,那么 会 有 非常 现实 
的 后 果 , 这 些 后 果 既 有 经 济 上 也 有 生活 上 的 安全 。 未 来 两 到 五 年 是 获得 这 个 权 
利 的 机 会 ,在 那 之 后 ,美国 将 会 面临 不 作为 的 后 果 , 并 且 冒 着 另 一 个 错失 的 机 会 
坚持 在 技术 浪潮 的 早期 安全 方面 。 

根据 新 兴 技 术 和 动态 威胁 环境 的 迅速 采用 ,立即 采取 行动 是 必要 的 ,以 解决 
动态 物 联网 环境 。NSTAC 发 现 : 现 有 的 治理 政策 和 制度 的 支持 结构 并 没有 被 
很 好 地 配置 ,因此 不 能 推动 所 需 的 快速 变化 ;因此 ,NSTAC 建议 前 三 个 推荐 在 
90 天 内 执行 。 由 EO13618 建立 的 基于 权力 与 责任 .国家 安全 和 应 急 预 备 通信 
分 配 的 功能 ,NSTAC 建议 总 统 执行 以 下 建议 : 

(1) 指导 商务 部 ,特别 是 NIST 来 开发 物 联 网 的 定义 ,这 些 定义 在 各 部 门 和 
机 构 在 与 物 联网 有 关 的 评估 中 被 使 用 。 

(2) 指导 管理 和 预算 办 公 室 ,要 求 联邦 部 门 和 机 构 ; 

CD 构建 内 部 评估 ,以 记录 目前 的 物 联 网 功能 支持 和 /或 计划 支持 的 NS/EP 
的 功能 。 这 些 评估 必须 考虑 关联 和 相互 依存 关系 ,这 些 依存 关系 可 能 被 引进 ,以 
及 相关 的 风险 和 NS/EP 利益 方面 。 

@ 开发 应 急 计 划 以 确定 和 管理 所 创建 的 由 政府 部 署 的 目前 和 未 来 的 物 联 
网 的 安全 问题 。 该 计划 应 认识 到 物 联 网 设备 和 他 们 的 潜在 用 途 将 不 断 发 展 ,此 
外 , 它 不 能 完全 担保 预期 的 环境 是 绝对 安全 的 ,因为 物 联网 的 动态 性 质 和 存在 潜 
在 的 威胁 。 

G) 建 一 个 物 联 网 联合 事务 特 遗 队 与 现 有 组 织 机 构 协 调 促进 安全 经济 效 
益 和 潜在 风险 之 间 的 平衡 观点 。 至 少 , 参 加 者 应 包括 商务 部 、 商 务 部 国土 安全 部 
和 国防 部 。 专 案 组 将 设 定 里 程 碑 完 成 下 列 活动 ,这 些 活动 是 要 求解 决 风险 紧迫 
性 的 反映 ,这 些 风 险 又 是 正在 进行 物 联网 部 署 对 NS/EP 产生 的 。 

CD 标示 措施 和 新 兴 技 术 之 间 的 差距 ,以 解决 独特 的 由 物 联 网 在 NS/EP 和 
制定 计划 的 风险 ,如 何 激励 发 展 的 安全 创新 ,以 解决 差距 。 

@ 指导 更 新 联邦 战略 文件 ,考虑 物 联 网 设备 的 爆炸 性 增长 和 依赖 性 方面 的 
安全 。 例 子 包 括 确保 网 络 空间 安全 ,全 面 的 国家 网 络 安 全 倡议 ,以 及 可 信 的 网 络 
空间 :战略 计划 联邦 网 络 安全 研究 和 开发 计划 等 国家 战略 。 

@ 指导 更 新 现 有 的 意识 和 培训 计划 。 意 识 的 焦点 应 该 是 告知 公众 ,以 及 领 
导 和 决策 者 (私有 和 公共 ,包括 议员 ) .有 关 物 联网 的 快速 适应 的 利益 和 风险 , 因 
而 ,要 鼓励 周围 的 物 联 网 设备 的 使 用 和 开发 安全 。 应 考虑 具体 角色 程序 ,因为 这 
些 涉及 NS/EP 系统 的 设计 、 开 发 .生产 、 采 购 和 操作 。 
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@ 鼓励 和 激励 学 术 界 开发 课程 的 重点 :@ 物 联网 ,以 及 相关 的 安全 挑战 ;及 
OIT 和 OT 学 科 的 收敛 性 ,为 了 教育 未 来 的 从 事 设计 的 专业 人 士 、 管 理 人 员 或 
NS/EP 系统 的 安全 。 

C 鼓励 参与 到 适当 的 国际 标准 和 标准 的 国际 论坛 上 ,参与 政策 的 发 展 。 

(4) 召集 和 促进 政府 和 行业 常设 机 构 协 调 ,协作 和 利用 各 种 工业 物 联网 联 
盟 发 展 、 更 新 和 维护 物 联 网 部 署 准则 来 管理 网 络 安全 的 牵连 和 风险 。 这 些 准则 
应 包括 物 联 网 的 集成 度 到 系统 中 ,这 些 系统 是 来 支持 NS/EP 功能 并 突出 市 场 可 
以 解决 的 风险 与 国家 安全 风险 之 间 的 差距 ,这 些 风险 是 市 场 不 打算 解决 的 , 它 作 
为 采购 和 操作 程序 的 一 部 分 被 使 用 。 结 果 应 该 启用 自 适应 的 指导 方针 ,聚焦 生 
态 系统 的 网 络 安全 和 弹性 ,这 种 生态 系统 是 以 持续 的 合作 过 程 为 基础 的 风险 及 
时 变化 的 。 执 行 机 构 必 须 有 监督 执行 的 权力 和 监督 同意 部 署 跨 政府 机 构 和 部 门 
的 指导 方针 。 

(5) 指导 NS/EP 的 沟通 执行 委员 会 开展 以 下 工作 :审查 和 推荐 NS/EP 更 
新 计划 ,通过 PPD-1 更 新 过 程 优先 推进 下 一 代 网 络 通信 (例如 ,语音 ,视频 , 数 
据 ) 和 公共 安全 通信 的 发 展 ;公布 说 明 一 些 促进 物 联网 增长 .与 NS/EP 系统 通信 
有 关 的 数据 ;与 私营 部 门 协同 更 新 NS/EP 计划 。 

(6) 指导 科学 和 技术 政策 办 公 室 审查 当前 的 研发 投资 并 建议 未 来 的 物 联网 
安全 的 研发 经 费 。 这 些 研发 经 费 将 用 于 支持 研究 那些 具有 NS/EP 功能 的 物 联 
网 系统 所 面临 的 潜在 安全 威胁 和 安全 问题 等 相关 课题 。 新 技术 的 采纳 和 实施 的 
度量 提升 ,来 自 于 国家 的 优先 事项 和 利益 联系 ,并 确保 已 有 的 、 类 似 的 建议 被 适 
当地 执行 。 随 着 建议 的 考虑 和 实施 ,对 以 下 而 言 它 将 是 重要 的 : 建立 度量 机 
制 来 度量 和 监督 的 推荐 的 有 效 性 ; @ 以 最 大 限度 地 减少 风险 的 方式 纳入 物 联 网 
技术 ; @ 将 物 联网 纳入 到 目前 的 教育 和 意识 计划 中 ; @ 确 保 与 物 联 网 相关 的 研 
发 项 目 正 在 解决 不 断 变 化 的 网 络 安全 问题 。NSTAC 认为 这 些 举 措 将 有 助 于 最 


大 限度 地 提高 安全 性 以 及 物 联 网 生态 系统 的 弹性 。 
B.3 美国 宽带 互联 网 技术 咨询 组 物 联 网 安全 和 
隐私 建议 报告 简介 


美国 宽带 互联 网 技术 咨询 组 于 2016 年 11 月 发 布 了 一 份 ( 物 联 网 安全 和 隐 
私 建议 报告 》。 该 报告 分 析 了 为 什么 物 联 网 安全 和 隐私 问题 非常 重要 ,总 结 了 目 
前 物 联 网 设备 存在 的 诸多 不 安全 因素 ,并 给 出 了 实现 物 联 网 安全 和 隐私 保护 的 
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B.3.1 简介 


在 过 去 几 年 中 ,有 很 多 的 新 设备 连接 到 互联 网 中 ,它们 不 是 个 人 计算 机 ,而 
是 有 互联 网 连接 功能 的 各 种 诅 入 式 设备 。 这 种 设备 的 示例 包括 恒温 器 、 智 能 插 
头 和 网 络 摄像 机 。 这 类 设备 通常 被 称 为 物 联 网 (IoT) ,显然 ,这 种 新 型 设备 将 在 
未 来 几 年 中 有 着 强劲 的 增长 , 据 不 同 角度 的 估计 ,预测 到 2020 年 将 有 数 十 亿 此 
Ai 

物 联 网 设备 的 数量 和 种 类 正在 快速 增长 ;这 些 设备 为 终端 用 户 提供 了 许多 
新 的 应 用 ,并 且 在 未 来 将 提供 更 多 功能 。 许 多 IoT 解决 方案 已 经 可 用 或 正在 开 
发 用 于 不 久 的 将 来 部 署 ,包括 : 

(1) 传感器 用 于 更 好 地 了 解 人 们 的 日 常生 活 模式 并 监测 健康 ; 

(2) 家 庭 监控 和 控制 功能 ,从 锁 到 供暖 和 供水 系统 ; 

(3) 设备 和 应 用 软件 ,能 够 满足 消费 者 需求 并 采取 行动 来 解决 他 们 的 问题 
(例如 监控 库存 并 为 消费 者 自动 再 订购 产品 设备 )。 

此 外 , 当 与 数据 分 析 和 机 器 学 习 学 科 结 合 时 ,IoT 设备 可 采取 更 主动 的 行 
动 ,暴露 更 有 趣 的 数据 模式 ,或 向 终端 用 户 提 出 可 改善 他 们 的 健康 环境、 财务 和 
其 他 方面 的 建议 。 

物 联 网 的 出 现 提供 了 一 个 从 智能 家 居 到 智能 城市 的 重大 创新 机 会 。 不 笠 的 
是 ,许多 IoT 设备 出 现 严 重 的 安全 和 隐私 缺陷 5 ;B. 3. 2 节 分 析 了 为 什么 IoT 安 
全 和 隐私 特别 重要 ,B. 3. 3 节 详 细 讨论 了 许多 最 近 的 例子 。 这 些 缺 陷 使 得 终端 
用 户 以 多 种 方式 购买 设备 的 风险 ,并 且 可 能 影响 共享 在 相同 网 络 链 路 上 运行 的 
其 他 用 户 的 设备 的 互联 网 接 和 服务。 这 种 缺陷 还 提供 更 广泛 的 缓解 安全 攻击 问 
题 的 目标 ,互联 网 服务 提供 商 (ISP) 以 及 其 他 服务 提供 商 (例如 搜索 引擎 服务 , 基 
于 Web 的 电子 邮件 和 游戏 站 点 ) , 正 引入 重要 的 新 的 支持 和 缓解 成 本 (通常 传递 
给 终端 用 户 ) 中 。 这 种 缺陷 还 可 以 对 设备 制造 商 本 身 施加 附加 成 本 ,来 使 设备 制 
造 商 需 采 取 措 施 来 减轻 这 些 问 题 。 

更 多 情况 下 ,IoT 设备 的 开发 .分 发 和 维护 过 程 需 可 以 直接 更 改 以 防止 遭受 
重大 安全 和 隐私 问题 。BITAG 认为 ,遵循 本 报告 中 概述 的 指南 可 以 显著 提高 物 
联网 设备 的 安全 性 和 隐私 性 ,并 尽量 减少 影响 对 终端 用 户 和 ISP 损害 相关 的 成 
本 。 此 外 ,除非 物 联网 设备 部 门 ( 制 造 和 销售 这 些 设备 的 行业 部 门 ) 改 善 了 设备 
的 安全 性 和 隐私 性 ,否则 可 能 会 阻碍 物 联网 消费 市 场 的 发 展 ,并 最 终 限 制 ToT 对 
终端 用 户 的 承诺 。 
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B.3.2 什么 是 物 联网 


物 联 网 (IoT) 包 括 传感器 、 制 动 器、 控制 器 和 活动 记录 器 等 设备 。 这 些 设 备 
通常 与 网 络 上 其 他 地 方 运行 的 软件 交互 ,例如 移动 电话 、 通 用 计算 设备 (例如 笔 
记 本 计算 机 )、 公 共 互 联网 上 的 机 器 (例如 “ 云 ”) 或 这 些 组 合 等 。 物 联网 设备 通常 
自主 运行 ,无 顷 人 工 干预 。 

术语 “IoT” 具 有 潜在 的 广泛 范围 。 物 联网 可 以 是 部 署 在 家 庭 、 企 业 、 制 造 
业 、 交 通 运输 行业 和 其 他 行业 的 设备 。 因 此 ,IoT 指 的 不 仅仅 是 面向 消费 者 的 
设备 。 

在 本 报告 中 ,术语 IoT 仅 指 面向 消费 者 的 设备 及 其 相关 的 本 地 和 远程 软件 
系统 ,尽管 报告 中 的 一 些 或 所 有 建议 可 能 应 用 更 广泛 ,但 本 报告 主要 涉及 消费 者 
安装 、 配 置 和 管理 他 们 租用 或 拥有 设备 的 情况 。 


l. 范围 限制 


该 报告 没有 直接 考虑 用 于 工业 .企业 等 的 设备 ,如 酒店 或 机 场 网 络 中 的 传 感 
器 .智慧 城市 .工业 自动 化 .商业 建筑 控制 或 制造 库存 控制 等 。 这 些 设置 中 ,客户 
通常 有 资源 和 激励 措施 来 指定 和 管理 他 们 购买 产品 的 安全 和 隐私 功能 。 此 外 ， 
它们 中 的 很 多 设备 不 提供 使 用 互联 网 可 完全 访问 的 商业 无 线 连接 。 尽 管 如 此 ， 
本 报告 中 提 到 的 一 些 问 题 也 可 能 出 现在 这 些 环境 中 。 

本 报告 的 范围 还 限于 发 起 或 终止 IoT 设备 的 数据 包 。 更 具体 地 ,本 报告 不 
关注 那些 发 送 或 接受 IoT 设备 以 及 其 他 业务 (例如 家 庭 网 关 、 无 线 接 入 点 或 路 由 
器 ) 的 设备 的 数据 包 。 

此 外 ,报告 更 关注 那些 使 用 Internet 协议 (IP) 的 设备 和 系统 ,无 论 是 IPv4 还 
是 IPv6 或 两 者 。 很 多 的 物 联 网 设备 使 用 其 他 传输 协议 机 制 ,如 Zigbee 1. 002, 
X10 中 等 。 这 些 设备 需 通 过 执行 协议 转换 的 设备 才能 连接 到 互联 网 。 它 们 在 隔 
离 的 网 络 上 操作 。 然 而 ,这 里 的 建议 仍然 适用 于 执行 协议 转换 的 设备 (例如 家 庭 
自动 化 中 枢 或 网 关 )。 

本 报告 重点 介绍 经 Internet 进行 通信 的 本 地 IP 网 络 上 特定 设备 的 问题 。 
本 报告 的 适用 范围 不 包括 未 连接 到 公共 Internet 的 隔离 网 络 上 发 生 的 隐私 和 安 
全 问题 。 


2. 用 户 已 修改 的 IoT 设备 


一 些 设 备 可 以 运行 用 户 自己 安装 的 软件 ,而 不 运行 制造 商 提 供 的 软件 。 例 
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如 ,用 户 可 以 在 设备 上 安装 开源 软件 ,而 不 是 使 用 厂商 提供 的 软件 。 所 得 产品 可 
能 受到 本 报告 的 考虑 和 建议 的 影响 ,但 在 这 种 情况 下 ,设备 应 被 视 为 用 户 负 责 的 
不 同 产 品 。 


B.3.3 为 什么 IoT 安全 和 隐私 特别 重要 


物 联网 设备 面临 着 与 传统 终端 用 户 设 备 相 同类 型 的 安全 和 隐私 问题 。IoT 
设备 不 会 给 用 户 提 供 明 确 的 控制 和 文档 来 告知 这 些 设备 部 署 后 会 带 来 的 风险 。 
此 外 ,研究 表明 ,终端 用 户 在 安全 和 隐私 决策 上 很 容易 出 问题 5 5 。 

(1) 消费 者 无 相关 技术 且 对 其 不 感 兴趣 

终端 用 户 缺 乏 评估 特定 物 联 网 设备 隐私 和 安全 隐患 的 技术 经 验 和 兴趣 9 。 
此 外 ,部 署 的 IoT 设备 通常 缺乏 自动 化 机 制 来 进行 安全 更 新 或 执行 安全 策 
Wg C2415) 。 

(2) 发 现 和 定位 被 攻击 的 设备 存在 困难 

消费 者 难以 识别 和 排除 连接 到 他 们 家 庭 网 络 的 设备 所 存在 的 故障 "5 4 
消费 者 将 越 来 越 多 种 类 的 物 联 网 设备 连接 到 他 们 的 家 庭 网 络 时 ,这 些 设备 将 加 
剧 这 种 情况 。 随 时 间 的 推移 ,用 户 很 可 能 会 忘记 连接 到 他 们 网 络 中 的 设备 ,这 将 
使 识别 和 排除 设备 故障 变 得 更 困难 。 此 外 ,ISP 难以 帮助 消费 者 识别 安全 问题 
的 来 源 。 虽 然 ISP 能 够 确定 客户 家 庭 网 络 上 的 某 个 设备 已 遭 到 攻击 ,但 由 于 
NAT 和 其 他 隐藏 的 技术 ,使 它们 无 法 识别 具体 受 损害 的 设备 。 

C3) 对 互联 网 接 人 服务 的 影响 

IoT 设备 受到 恶意 软件 攻击 后 ,会 发 送 或 接收 大 量 的 数据 包 , 从 而 影响 IoT 
设备 的 用 户 和 在 同一 共享 网 络 链 路 上 的 用 户 的 互联 网 访问 服务 。 此 外 ,这 些 设 
备 也 可 能 对 用 户 和 恶意 软件 攻击 的 其 他 用 户 造 成 威胁 " 。 这 恶意 软件 可 用 于 
发 起 DDoS 攻击 " ,发 送 垃圾 邮件 ,攻击 用 户 网 络 上 的 其 他 设备 ,或 恶意 干扰 用 
户 的 互联 网 接 人 服务 等 。 

这 些 问题 增加 了 ISP 的 运营 成 本 ,使 其 必须 花费 大 量 经 历来 处 理 这 些 攻击 ， 
比如 ,为 无 法 确定 因特网 服务 异常 的 用 户 提供 帮助 和 支持 ; 当 发 现 某 些 用 户 的 设 
备 正 在 执行 恶意 网 络 活动 时 , 则 断 开 他 们 的 网 络 。 这 些 问题 还 会 降低 互联 网 服 
务 的 性 能 并 导致 证 书 丢失 ,从 而 增加 消费 者 的 成 本 。 最 后 ,他 们 对 攻击 的 目标 和 
物 联 网 设备 制造 商 ( 或 物 联 网 供应 链 的 其 他 部 分 ) 施 加 成 本 ,因为 制造 商 们 需 采 
取 措 施 来 减轻 这 些 问题 。 

(4) 其 他 服务 带 来 的 影响 

受 恶 意 软件 攻击 的 ToT 设备 可 能 会 成 为 其 他 攻击 的 跳板 ,比如 垃圾 邮件 和 
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拒绝 服务 攻击 等 ,攻击 者 利用 受 损 设 备 来 发 送 和 接收 大 量 数据 包 59 ,从 而 干扰 
服务 商 提供 的 服务 能 力 甸 9 。 此 外 , 受 损 的 设备 也 可 作为 窃听 本 地 网 络 信息 或 攻 
击 其 他 设备 及 服务 的 “ 垫 脚 石 ”, 进 而 产生 数据 泄露 。 对 此 ,一 些 服务 提供 商 , 如 
搜索 引擎 .网络 电子 邮件 和 游戏 网 站 等 ,必须 投入 精力 来 缓解 这 些 攻击 。 同 时 ， 
这 些 攻击 的 受害 者 也 将 承担 财务 和 隐私 的 损失 。 此 外 ,这 些 受 损 的 IoT 设备 偶 
尔 也 会 影响 服务 提供 商 的 业务 模型 。 例 如 ,DNSChanger 恶意 软件 ,就 允许 攻击 
者 将 他 们 自己 的 广告 插入 到 受害 者 的 网 页 5 中 。 


B.3.4 许多 设备 不 循序 安全 和 隐私 最 佳 原 则 


物 联网 设备 已 经 成 为 滥用 和 攻击 的 跳板 。 很 多 研究 人 员 发 现 现 有 物 联 网 设 
备 存在 很 多 的 安全 隐私 和 风险 "~ 中 。 未 来 几 年 ,国家 将 部 署 数 以 万 计 的 物 联 网 
设备 ,这 将 会 成 为 发 起 攻击 的 大 跳板 一 一 导致 攻击 者 在 用 户 家 中 的 其 他 设备 和 
互联 网 上 偷偷 收集 终端 用 户 或 用 户 组 的 私人 信息 。 除 了 消费 者 会 遭受 损失 外 ， 
网 络 服务 提供 商 遭 受 网 络 安全 攻击 事件 的 概率 增加 ,导致 网 络 运行 成 本 上 升 。 

最 近 的 几 个 报告 研究 了 物 联网 设备 的 安全 和 隐私 特性 ,发 现 一 些 设备 不 遵 
守 基 本 的 安全 和 隐私 最 佳 设计 原则 名- 。 导 致 这 种 现象 的 原因 包括 : 

COD IoT 设备 销售 后 缺乏 开发 .升级 和 部 署 的 动力 

对 于 零售 商 销售 给 消费 者 的 IoT 设备 ,设备 供应 商 后 期 可 能 没有 动力 对 软 
件 进行 更 新 。 如 果 设备 的 收入 仅 来 自 初 始 销售 ,那么 设备 的 任何 维护 都 会 受 初 
始 低 利润 的 收入 影响 。 这 种 支持 供应 商 优先 销售 新 设备 而 不 维护 现 有 设备 的 计 
划 是 不 可 行 的 。 

(2) 通过 网 络 进 行 软件 升级 存在 困难 

ToT 设备 的 设计 和 配置 使 其 不 能 通过 网 络 进行 软件 更 新 ,这 会 导致 烦琐 的 
更 新 过 程 。 

(3) IoT 设备 的 资源 有 限 

低 利润 销售 的 IoT 设备 ,其 硬件 资源 一 般 是 有 限 的 。 所 以 ,这 些 设备 会 缺乏 
某 些 基 本 安全 措施 ,如 加 密 、 软 件 签名 认证 和 安全 访问 控制 等 。 此 外 ,IoT 设备 
的 计算 和 存储 器 受 限 , 会 导致 设备 主机 上 运行 的 安全 软件 或 设备 本 身 不 能 安全 
地 进行 升级 。 

OD 设备 接口 具有 一 定 的 约束 

很 多 IoT 设备 的 用 户 接口 是 受 限 的 或 不 存在 的 。 即 便 这 些 设备 通过 辅助 装 
置 来 为 用 户 提供 接口 时 ,这 些 接口 的 功能 也 可 能 很 小 。 因 此 ,这 些 ToT 设备 通常 
不 能 配置 本 地 防火 墙 或 禁用 远程 服务 等 。 此 外 ,这 些 IoT 设备 还 可 能 缺乏 向 用 
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户 显示 错误 信息 和 预警 的 能 力 。 

(5) 设备 在 制造 过 程 中 被 植 和 人 了 恶意 软件 

设备 在 制造 或 包装 过 程 中 ,可 能 由 生产 人 员 或 其 他 工作 人 员 植 和 人 了 恶意 软 
件 。 这 些 被 植 和 人 恶意 软件 的 设备 通常 看 起 来 工作 正常 ,但 它们 却 存在 安全 和 隐 
私 问题 。 此 外 ,防火 墙 和 网 络 隔离 不 能 阻止 这 些 设备 攻击 内 部 网 络 上 的 其 他 
设备 。 

(6) 设备 制造 商 缺 乏 安全 和 隐私 的 经 验 

许多 物 联网 设备 制造 商 (以 及 物 联网 供应 链 的 其 他 部 分 ) 在 设计 、 开 发 .维护 
互联 网 连接 设备 或 处 理 消费 者 数据 上 缺乏 经 验 。 例 如 缺乏 安全 开发 的 生命 周 
期 .事件 响应 团队 ,及 安全 和 隐私 工程 经 验 等 。 

(7) 存在 安全 隐患 的 设备 带 来 的 风险 

以 下 示例 说 明了 当 IoT 设备 存在 安全 隐患 时 ,可 能 会 出 现 的 问题 及 其 程度 。 
未 经 授权 的 用 户 此 时 能 够 : 

D 执行 未 经 授权 的 监控 和 监视 

知道 是 否 有 特定 的 人 在 家 ,他 们 在 哪个 房间 ,以 及 他 们 什么 时 候 进 家 ;知道 
连接 到 家 庭 网 络 的 其 他 设备 ,以 及 用 户 通过 设备 如 何 进 行 交互 ;远程 激活 设备 上 
的 麦 到 风 或 摄像 头 , 来 窃听 或 侦察 一 些 人 ;通过 发 现 门 或 车 库 最 近 是 否 被 打开 和 
关闭 ,来 确定 是 否 有 人 在 家 ,进而 帮助 物理 入 侵 ;在 物 联 网 摄像 机 安装 恶意 软件 ， 
来 访问 摄像 头 获取 的 视频 。 

© 获得 未 经 授权 的 访问 或 控制 

在 冬季 关闭 恒温 器 ,导致 水 管 爆 裂 ,损坏 家 庭 ; 打 开 或 关闭 灯 , 如 关闭 周边 照 
明 ,来 帮助 物理 人 侵 ; 打 开门 锁 以 帮助 物理 入侵 ;抑制 来 自 门 或 窗 传 感 器 的 报警 ; 
重新 使 用 禁用 的 设备 (例如 比特 币 矿工 )。 

@ 导致 设备 或 系统 故障 

激活 住宅 的 空调 系统 来 使 电力 网 上 产生 意外 的 浪 涌 ,从 而 试图 产生 掉 电 或 
停电 ;破坏 健康 数据 收集 传感器 以 修改 健康 数据 ,如 血压 .血糖 或 可 被 传输 到 健 
康 监 测 服 务 或 医疗 装置 (例如 胰岛 素 泵 ) 的 重量 信息 ;模拟 设备 管理 软件 ,使 其 看 
起 来 正常 运行 ,但 却 禁用 了 重要 功能 或 更 改 了 其 他 操作 ,导致 设备 或 硬件 系统 在 
关键 点 上 出 现 故 障 ;防止 恒温 器 控制 建筑 物 的 加 热 或 冷却 ,导致 极端 的 热 或 冷 。 

© 干扰 或 骚扰 用 户 

远程 激活 扬声器 并 进行 口头 威胁 或 骚扰 ;激活 烟雾 或 其 他 安全 警报 。 

所 有 这 些 情 况 都 会 为 终端 用 户 和 整个 互联 网 带 来 严重 的 安全 和 隐私 风险 。 
一 些 终端 用 户 的 安全 和 隐私 风险 也 可 能 导致 新 形式 的 干扰 。 在 一 些 极端 情况 
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下 ,破坏 收集 的 真实 数据 可 导致 人 员 伤 害 或 死亡 。 对 广泛 部 署 的 设备 ,其 安全 风 
险 可 以 在 数 百 或 数 千 个 设备 上 联合 ,进而 在 关键 基础 架构 上 制造 分 布 式 攻击 。 

物 联网 设备 的 安全 和 隐私 问题 可 能 会 限制 未 来 物 联 网 行业 的 发 展 。 一 些 严 
重 的 物 联网 安全 事件 可 能 会 减少 对 物 联网 设备 的 需求 ,或 限制 物 联网 的 潜力 和 
增长 。 因 此 ,解决 安全 和 隐私 问题 ,对 支持 物 联网 市 场 的 长 期 健康 、 活 力 和 增长 
是 至 关 重 要 的 。 


B.3.5 loT 安全 和 隐私 问题 观察 


制造 商 不 可 能 生产 没有 缺陷 的 软件 ;所 有 软件 都 有 缺陷 ,生产 没有 缺陷 的 软 
件 仍 是 一 个 未 解决 的 难题 。 一 些 IoT 设备 出 厂 时 所 具有 的 软件 是 过 时 的 ,或 随 
时 间 推 移 变 得 过 时 。 软 件 带 有 缺陷 不 是 问题 ,因为 它 是 不 能 避免 的 ;相反 ,我 们 
应 该 担忧 的 是 ,制造 商 生 产 的 设备 中 带 有 的 过 时 软件 ,此 软件 包含 许多 重要 的 、 
已 发 现 的 安全 漏洞 ,其 中 一 些 漏洞 可 能 是 设备 首次 连接 到 互联 网 发 现 的 [7 。 

其 他 IoT 设备 会 安装 一 些 带 有 已 知 漏洞 的 软件 。 即 便 这 样 ,除非 具有 随时 
更 新 软件 的 机 制 ,否则 这 些 设备 随时 间 推 移 , 可 能 会 发 现 漏洞 ,存在 安全 隐患 。 
不 幸 的 是 ,许多 物 联 网 设备 缺乏 稳定 的 自动 化 软件 更 新 机 制 ,该 机 制 可 在 设备 出 
厂 和 部 署 后 及 时 修复 漏洞 。 如 果 没 有 广泛 采用 稳定 的 自动 化 软件 更 新 方法 ,未 
来 几 年 ,不 安全 和 受 损 的 物 联网 设备 的 数量 会 急剧 增加 。 

随 着 时 间 的 推移 ,存在 安全 和 隐私 问题 的 物 联网 设备 ,会 成 为 一 个 可 被 黑客 
利用 来 执行 攻击 行为 的 新 设备 群体 5 。 这 些 设备 不 仅 对 设备 拥有 者 本 身 造 成 
风险 ,而 且 还 可 能 被 利用 或 滥用 于 其 他 地 方 。 因 此 , 物 联网 设备 的 安全 性 不 仅 对 
制造 商 ( 以 及 物 联 网 供应 链 的 其 他 部 分 ) 和 物 联 网 用 户 , 乃 至 整个 互联 网 都 是 有 
意义 的 。 

虽然 本 报告 中 列举 了 物 联网 设备 中 以 前 及 现在 存在 的 安全 或 隐私 问题 ,但 
多 数 情况 下 ,本 文 所 举 的 例子 可 能 在 本 报告 发 布 之 前 已 由 相关 单位 解决 。 


l. 不 安全 网 络 通信 


IoT 设备 通常 是 资源 受 限 的 ,缺乏 传统 计算 设备 (如 移动 电话 、 笔 记 本 电脑 
和 台式 电脑 等 ) 的 计算 能 力 和 带宽 。 因 此 ,在 物 联 网 设备 上 很 难 实现 通用 计算 设 
备 中 所 应 用 的 安全 功能 。 例 如 ,现在 通信 中 常 使 用 的 TLS 和 DTLS 都 使 用 公 钥 
加 密 体 制 在 资源 受 限 的 IoT 设备 上 是 很 难 实现 的 。 例 如 , Arduino 和 Raspberry 
Pi 物 联网 设备 执行 公 钥 加 密 或 解密 操作 可 能 需要 很 多 秒 才能 执行 。 

除了 物 联网 设备 及 其 运行 的 物 联网 平台 存在 限制 外 ,该 领域 还 发 现 了 很 多 
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安全 缺陷 ,包括 未 加 密 的 通信 、 物 联网 设备 的 数据 泄露 以 及 物 联 网 设备 连 网 所 带 
来 的 不 良 影响 。 例 如 , 某 些 TLS 服务 器 实现 容易 受到 “降级 ”攻击 ,由 此 攻击 者 
可 强迫 服务 器 使 用 旧版 本 的 TLS 协议 ,这 可 能 存在 已 知 的 安全 问题 ,如 中 间 人 
攻击 。 这 种 情况 下 ,在 IoT 设备 和 支持 云 托管 的 服务 之 间 进 行 通信 可 能 会 存在 
影响 。 

(1) 未 认证 的 通信 

一 些 IoT 设备 提供 没有 认证 和 加 密 的 自动 软件 更 新 机 制 ,这 种 机 制 是 不 可 
用 , 且 应 该 禁用 的 。 更 新 机 制 和 相关 的 命令 及 控制 流 应 该 被 认证 并 加 密 , 且 设备 
与 其 他 端点 间 通 信和 的 完整 性 应 受到 保护 。 遗 憾 的 是 ,很 多 IoT 设备 在 通信 时 不 
使 用 认证 。 例 如 ,Lightwave RF 智能 集线器 每 次 重启 时 都 会 向 远程 服务 器 发 送 
数据 包 , 并 每 隔 15 分 钟 发 送 数据 包 来 检查 是 否 有 软件 更 新 。 如 果 这 样 的 通信 是 
不 安全 , 则 能 访问 网 络 的 攻击 者 很 容易 对 其 进行 中 间 人 攻击 (man-in-the-middle 
attack) 。 

(2) 未 加 密 的 通信 

很 多 IoT 设备 以 明文 形式 发 送 部 分 或 所 有 数据 ,这 意味 着 数据 一 旦 “泄露 ”， 
很 容易 被 其 他 设备 或 攻击 者 观察 到 。 

结果 一 些 IoT 设备 正 泄露 用 户 信 息 ( 例 如 向 网 络 数据 包 的 观察 者 ) ,这 可 用 
于 识别 正在 使 用 的 IoT 设备 ,并 揭示 当前 用 户 活动 和 行为 。 例 如 :数码 相框 在 同 
步 照 片 时 携带 用 户 的 电子 邮件 地 址 ,并 且 当 前 的 用 户 活动 也 清楚 显示 在 其 中 ;网 
络 摄 像 机 以 明文 方式 发 送 视 频 文件 ;音频 个 人 助理 在 明文 中 携带 用 户 音频 命令 、 
传感器 数据 、 用 户 电子 邮件 地 址 等 ;人 恒温 器 以 明文 方式 携带 当地 气象 数据 和 精确 
的 用 户 位 置信 息 ,并 可 根据 所 使 用 的 端口 清楚 地 识别 为 特定 品牌 的 恒温 器 ; 物 联 
网 设备 集线器 具有 明确 的 一 般 和 具体 的 数据 包 管理 ,这 使 得 其 可 仅 通 过 指纹 来 
识别 明文 数据 包 , 进 而 识别 设备 集线器 ;一 些 IoT 支持 的 心脏 起 搏 器 的 通信 信道 
未 加 密 。 

以 明文 方式 发 送 数据 包 不 是 当前 部 署 所 推荐 的 模式 ,因为 它 会 在 本 地 网 络 
或 互联 网 上 泄露 个 人 或 其 他 信息 。 对 于 这 一 问题 ,互联 网 架构 委员 (IAB) 最 近 
表示 :“IAB 督促 协议 设计 者 在 默认 情况 下 设计 加 密 操 作 ,强烈 鼓励 开发 人 员 在 
其 实现 中 使 用 加 密 ,并 对 它们 默认 加 密 ”。 

(3) 缺乏 相互 认证 和 授权 

许多 攻击 源 于 网 络 边界 ,如 家 庭 或 其 他 地 方 的 防火 墙 内 。 因 此 ,防火 墙 内 的 
通信 不 一 定 被 认为 是 可 靠 的 。 因 此 ,不 论 是 在 局 域 网 还 是 互联 网 上 的 设备 都 需 
在 设备 之 间 建 立信 任 ;应 该 假设 默认 情况 下 其 他 设备 是 不 值得 信任 的 , 故 需 明确 
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地 认证 和 授权 。 设 备 允许 未 知 的 或 未 授权 方 更 改 其 代码 、 配 置 或 访问 其 数据 ,很 
可 能 导致 设备 受到 威胁 ;设备 可 以 显示 其 所 有 者 的 存在 或 不 存在 ,执行 恶意 软件 
的 安装 或 操作 ,或 从 根本 上 损害 IoT 核心 功能 。 

幸运 的 是 ,与 许多 以 联网 通信 为 目的 的 笔记 本 电脑 及 通用 计算 设备 相 比 ， 
IoT 设备 经 常 与 少数 特定 的 设备 通信 。 例 如 ,设备 可 能 经 常会 与 公开 DNS 名 称 
和 IP 地址 的 控制 或 更 新 服务 器 通信 ,如 果 发 现 其 与 其 他 目标 设备 发 生 通信 , 则 
需 引 起 关注 。 

(4) 缺乏 网 络 隔离 

物 联网 设备 不 仅 可 在 其 所 安装 的 家 庭 网 络 之 外 引入 安全 和 隐私 风险 ,还 可 
能 会 产生 新 的 风险 ,并 且 容 易 受 到 来 自家 庭 内 部 网 络 的 攻击 。 因 为 默认 情况 下 
许多 家 庭 网 络 是 不 将 网 络 的 不 同 部 分 彼此 分 离 的 ,所 以 网 络 连接 设备 可 以 观察 
或 改变 与 同一 家 庭 网 络 上 的 其 他 设备 的 数据 包 , 因 此 一 个 设备 观察 或 影响 其 他 
设备 的 行为 。 

尽管 常用 的 做 法 是 使 用 防火 墙 将 网 络 上 的 设备 彼此 隔离 ,但 是 防火 墙 并 不 
能 防御 设备 或 数据 泄露 , 且 它 们 不 能 防御 已 经 安装 在 家 庭 网 络 内 设备 上 的 恶意 
软件 。 目 前 ,典型 的 家 庭 网 络 在 设备 之 间 提 供 很 少 或 没有 隔离 。 

如 果 网 络 缺 乏 安全 隔离 , 那 某 一 个 制造 商 或 者 有 安全 风险 的 设备 会 对 网 络 
上 所 有 可 被 操作 的 设备 的 安全 和 隐私 造成 威胁 。 具 体 来 说 ,攻击 者 可 能 会 从 同 
一 网 络 上 的 其 他 设备 收集 个 人 人 信息。 通常, 家庭 网 络 上 的 每 个 设备 都 可 以 看 到 
来 自 同一 网 络 上 其 他 设备 的 数据 包 。 如 果 设 备 以 明文 传输 业务 , 则 一 个 设备 可 
能 会 发 现 另 一 设备 的 活动 细节 。 最 近 的 工作 表明 ,即使 只 观察 一 些 “ 粗 略 ” 的 细 
节 , 如 DNS 查找 及 流量 变化 的 能 力 , 也 可 能 会 揭示 关于 设备 活动 和 用 户 行为 的 
信息 。 攻 击 者 可 通过 控制 设备 推断 出 关于 终端 用 户 的 重要 信息 ,诸如 可 根据 门 
传感器 推断 进入 和 离开 家 庭 的 时 间 ,通过 带 有 麦克 风 和 摄像 头 的 TOT 设备 获取 
音频 和 视频 数据 。 许 多 家 庭 无 线 网 络 的 安全 设计 成 为 攻击 的 跳板 ,攻击 者 可 以 
利用 这 种 平台 攻击 一 个 易 受 攻击 的 IoT 设备 ,并 利用 该 妥协 作为 从 网 络 内 部 访 
问 其 他 连接 设备 的 机 制 。 示 例 包括 : 

CD 智能 手表 产品 包括 一 个 有 效 的 DNS 服务 器 ,外 部 攻击 者 可 以 用 来 攻击 
智能 手表 连接 到 的 网 络 上 的 其 他 设备 。 同 一 个 产品 有 一 个 漏洞 ,允许 本 地 网 络 
数据 包 被 外 部 网 络 攻击 者 查看 。 

@ 智能 灯泡 可 能 被 诱骗 发 送 无 线 网 络 凭 证 ,外 部 攻击 者 可 以 使 用 它 来 控制 
灯光 和 查看 本 地 网 络 通信 。 

© 一 些 设备 制造 商 和 ISP 暴露 了 数 百 万 设备 和 客户 驻地 设备 (例如 ,调制 
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解 调 器 、 家 庭 路 由 器 ) 的 不 安全 远程 管理 接口 ,其 全 部 共享 相同 的 已 知 私 钥 ,将 这 
些 设备 暴露 给 被 动 和 主动 中 间 人 攻击 。 

QD 某 些 型 号 的 VoIP 电话 中 的 漏洞 将 允许 本 地 网 络 攻击 者 向 电话 提供 恶意 
固件 升级 。 

C) Wi-Fi 安全 摄像 机 的 制造 商 设计 他 们 的 产品 用 对 等 网 络 软 件 ,将 “ 打 ” 穿 
过 本 地 网 络 防 火 墙 的 多 个 孔 , 不 能 轻易 停 用 。 该 软件 允许 攻击 者 不 仅 科 从 各 种 
各 样 的 端点 损害 相机 本 身 ,而 且 还 可 对 本 地 网 络 上 的 其 他 设备 发 起 攻击 。 


2. 数据 泄露 


在 家 中 安装 IoT 设备 会 增加 数据 泄露 的 潜力 ,因为 这 些 设备 可 在 云端 或 物 
联网 设备 之 间 泄 露 数据 。 

CD 来 自 云 端的 泄露 

目前 ,IoT 设备 收集 的 大 部 分 数据 存储 在 家 庭 外 的 云 服务 中 ;这 些 云 服务 可 
能 会 因 受 外 部 攻击 或 内 部 威胁 而 唱 受 数据 泄露 。 

此 外 ,如 果 用 户 对 这 些 云 主机 服务 使 用 弱 认 证 或 弱 加 密 , 则 用 户 数据 也 可 能 

几 个 例子 包括 : 

(D 与 泰 迪 能 (在 其 鼻子 上 包含 一 个 小 型 相机 ) 相 关联 的 Web 应 用 程序 包含 
一 个 安全 漏洞 ,会 导致 儿童 的 身份 暴露 。 

@ 玩具 娃娃 使 用 一 种 易 受 降级 攻击 的 TLS 版 本 ,在 娃娃 和 云 托管 的 服务 
器 之 间 发 送 加 密 的 聊天 时 ,可 以 窃听 儿童 的 录音 。 

@ 儿童 工场 的 数据 泄露 暴露 了 600 多 万 儿童 的 个 人 资料 。 

© 机 动车 辆 Wi-Fi 接 入 点 配置 的 缺陷 导致 车 辆 的 位 置 被 网 站 跟踪 ,从 而 获 
取 Wi-Fi 接 入 点 名 称 及 其 位 置 。 

© 汽车 制造 商 的 系统 向 中 央 服 务 器 以 明文 方式 发 送 燃 料 经 济 性 统计 、 精 确 
的 地 理 坐 标 、 速 度 、 方 向 和 目的 等 信息 。 

许多 数据 泄露 实例 来 自 于 已 存在 的 设备 。 来 自 云 端的 数据 泄露 不 是 新 的 或 
特定 的 IoT 设备 ,而 云 托管 服务 中 的 数据 泄露 的 普遍 对 消费 者 IoT 设备 来 说 ,是 
特殊 问题 ,因为 消费 者 IoT 设备 不 仅 日 益 普及 ,而 且 越 来 越 多 地 收集 个 人 和 私人 
数据 。 

(2) 来 自 设备 间 的 泄露 

来 自 不 同 制造 商 的 各 种 IoT 设备 可 运行 许多 不 同 的 应 用 软件 , 且 可 能 都 驻 
留 在 同一 个 局 域 网 上 。 尽 管 标准 Wi-Fi 加 密 技 术 可 保护 局 域 网 上 数据 传输 的 机 
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密 性 ,但 是 仅 使 用 加 密 不 能 保护 用 户 隐 私 。 

一 些 情况 下 ,相同 网 络 或 相 邻 网 络 上 的 设备 可 观察 来 自 其 他 设备 的 数据 包 。 
例如 ,设备 可 以 将 数据 “泄露 ?给 附近 的 设备 或 用 户 ( 在 相同 的 局 域 网 .Wi-Fi 网 
络 上 或 简单 地 在 附近 )。 即 使 使 用 了 Wi-Fi 加 密 技 术 ,一 个 设备 仍 可 观察 到 同一 
局 域 网 上 存在 的 其 他 设备 ,及 以 明文 方式 可 见 的 一 些 设备 的 硬件 地 址 (通常 可 以 
揭示 设备 的 类 型 )。 这 种 可 见 可 使 数字 相框 上 的 软件 监视 用 户 与 相同 网 络 上 的 
其 他 设备 的 交互 。 

从 一 个 设备 泄露 到 另 一 设备 的 数据 可 包括 家 庭 人 员 的 姓名 、 家 庭 的 精确 地 
理 位 置 , 甚 至 消费 者 购买 的 产品 的 信息 等 。 例 如 ,最 近 的 一 项 研究 表明 ,家 里 的 
恒温 器 可 泄露 精确 的 地 理 信 息 。 男 一 个 最 近 的 研究 表明 ,研究 人 员 的 健身 跟踪 
设备 能 通过 蓝牙 泄露 加 速度 计数 器 数据 ,从 而 确定 用 户 的 ATM PIN. 


3. 刀 遭受 恶意 软件 感染 和 其 他 小 用 


用 户 设备 上 安装 的 恶意 软件 ,通常 会 中 断 操 作 ,获取 未 授权 的 访问 或 发 起 攻 
击 , 也 可 通过 各 种 机 制 感染 IoT 设备 。 同 时 ,还 可 发 生 其 他 形式 的 滥用 。 一 些 示 
例 包括 : 

CD 制造 商 可 能 无 法 充分 保护 软件 供应 链 , 从 而 允许 恶意 软件 被 放置 在 物 联 
网 设备 的 最 初 软件 上 。 

© 设备 可 附带 包含 已 知 漏洞 的 过 期 软件 。 当 用 户 将 设备 连接 到 网 络 时 , 设 
备 立 即 成 为 攻击 者 的 目标 。 过 去 的 研究 表明 , “生存 时 间 ”( 即 ,设备 在 感染 之 前 
连接 到 网 络 的 时 间 ) 在 一 些 情况 下 可 少 于 10 分 钟 。 如 果 带 有 过 时 软件 的 设备 在 
出 厂 时 ,不 立即 检查 软件 更 新 , 则 它 存在 立即 被 感染 的 风险 。 

@ 软件 更 新 机 制 可 能 不 包括 软件 加 载 的 认证 ,该 认证 用 以 确保 软件 的 来 源 
是 可 信 的 。 通 过 社交 工程 ,用 户 可 能 受到 影响 或 被 诱导 而 将 受 损 软件 加 载 到 
IoT 设备 上 。 

CD 软件 可 包括 利用 (具有 或 不 具有 用 户 参 与 ) 命 令 行 能 力 或 应 用 编程 接口 
(APD) 来 将 恶意 软件 加 载 到 ToT 设备 上 。 

设备 开放 不 必要 的 端口 是 不 安全 的 ,如 telnet。 这 些 不 必要 的 端口 可 被 
用 于 危害 设备 ,例如 指示 设备 访问 目的 地 以 下 载 恶 意 软 件 。 不 必要 的 端口 也 可 
以 用 于 放大 攻击 。 

© 设备 使 用 默认 弱 认 证 ,例如 常见 的 或 易于 猜 到 的 用 户 名 和 密码 (例如 ， 
“admin”,“password”)。 此 外 ,远程 访问 的 认证 可 能 不 受 保护 ,使 得 实际 上 不 在 
家 中 的 其 他 人 登录 到 设备 并 在 其 上 安装 恶意 软件 。 
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4. 服务 中 断 的 潜在 因素 


设备 存在 或 受到 攻击 时 ,服务 的 可 用 性 是 物 联 网 设备 安全 性 的 一 个 重要 方 
面 。 可 用 性 或 连接 性 的 潜在 损失 包括 能 降低 To T 设备 的 功能 ,以 及 在 一 些 情况 
下 会 降低 设备 的 安全 性 ,例如 IoT 设备 没有 连接 时 ,将 不 能 工作 (例如 ,连接 是 丢 
失 )。IoT 设备 可 遭受 多 种 方式 的 服务 中 断 。 

云 托 管 应 用 程序 失去 支持 。 如 果 设 备 依赖 与 云 服 务 的 通信 ,那么 当 设备 与 
云 服务 失去 连接 时 ,该 设备 可 能 无 法 工作 。 这 种 中 断 可 能 是 各 种 原因 导致 的 , 包 
括 互 联网 连接 中 断 , 云 软件 服务 中 的 缺陷 ,供应 商 或 制造 商 停 业 , 或 消费 者 停止 
服务 订阅 等 。 

失去 与 网 络 的 连接 。 家 庭 网 络 内 的 连接 可 被 中 断 , 例 如 可 由 未 插入 的 电力 
电费、 对 Wi-Fi 的 无 线 电 干扰 或 决定 限制 访问 防火 墙 等 导致 中 断 。 

设备 损坏 。 设 备 可 能 物理 损坏 ,或 其 软件 可 能 损坏 或 以 其 他 方式 无 法 操作 
(有 时 称 为 “ 刺 穿 ”设备 )。 

“物理 或 逻辑 损坏 ”的 设备 可 能 是 不 可 恢复 的 , 它 依赖 于 与 云 托管 服务 通信 
的 设备 在 通信 恢复 时 可 能 再 次 可 操作 。 

中 断 某 些 服务 可 能 会 损坏 财产 ,并 使 用 户 处 于 危险 之 中 。 例 如 , 物 联网 恒温 
器 中 的 软件 缺陷 导致 无 法 操作 家 庭 供 暖 系统 ,从 而 使 家 庭 中 的 管道 冻结 。 加 热 
和 冷却 系统 的 故障 可 能 导致 死亡 。 当 物 联网 设备 负责 从 个 人 健康 到 家 庭 安 全 的 
一 切 时 ,用 户 安全 的 风险 很 高 。 


5. 设备 安全 和 隐私 问题 持续 存在 的 潜在 因素 


许多 IoT 设备 可 能 永远 不 会 接收 软件 更 新 ,一 方面 是 因为 制造 商 (或 物 联网 
供应 链 中 的 其 他 方 或 To T 服务 提供 商 ) 可 能 不 提供 更 新 ,一 方面 是 因为 消费 者 可 
能 不 应 用 已 经 可 用 的 更 新 。 相 似 类 型 的 设备 有 许多 例子 。 

CD 许多 物 联网 设备 将 永远 不 会 被 修复 

安全 漏洞 的 关键 软件 的 部 署 . 更 新 .修补 通常 很 困难 ,这 对 物 联网 设备 构成 
了 独特 的 挑战 。 原 因 如 下 :首先 ,许多 设备 供应 商 和 制造 商 没 有 将 软件 更 新 部 署 
到 数 千 个 设备 (或 更 多 ) 的 系统 或 过 程 中 。 其 次 ,通过 网 络 部 署 更 新 在 消费 者 家 
庭 中 操作 的 设备 是 困难 的 ,因为 更 新 时 可 能 中 断 服务 ,一 旦 不 正确 地 执行 , 则 有 
可 能 “和 毁坏 ”设备 。 此 外 ,一 些 设备 其 至 不 能 进行 软件 更 新 .。 

消费 电子 行业 出 现 了 三 种 软件 更 新 方法 ,其 中 两 种 依靠 用 户 采 取 行 动 ( 一 个 
根本 缺陷 ) ,而 第 三 种 是 自动 的 ,无 须 用 户 操作 。 在 实践 中 ,每 种 方法 的 效用 各 不 
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相同 。 这 些 方法 如 下 : 

© 用 户 启动 的 软件 更 新 。 此 方法 要 求 设备 的 本 地 管理 员 手 动 启动 对 设备 
的 任何 软件 更 新 的 检查 和 安装 。 这 种 方式 的 一 个 典型 例子 是 市 场 上 的 在 零售 家 
庭 网 关 或 路 由 器 设备 。 他 们 中 的 一 些 设备 需要 用 户 从 制造 商 的 网 站 下 载 新 的 软 
件 镜 像 ,然后 访问 本 地 设备 管理 网 页 ,找到 用 于 软件 升级 的 接口 并 上 传 文件 。 这 
个 过 程 不 仅 耗 时 ,而 且 对 让 设备 以 “足够 好 ”的 方式 工作 的 非 技 术 人 员 或 临时 用 
户 而 言 可 能 是 非常 可 怕 的 。 

© 用 户 批准 时 自动 检查 更 新 软件 。 这 些 设备 会 定期 检查 新 的 软件 更 新 。 
当 更 新 可 用 时 ,设备 向 用 户 呈 现 是 否 允 许 继续 更 新 的 询问 提示 。 智 能 电视 和 控 
制 台 游戏 设备 经 常 使 用 这 种 方法 。 在 这 些 情况 下 ,应 用 任何 特定 的 软件 更 新 可 
能 需要 几 分 钟 或 更 长 时 间 , 这 是 为 什么 向 用 户 呈 现 推迟 安装 的 选项 的 原因 。 

@ 全 自动 软件 更 新 。 有 些 设备 会 定期 检查 新 软件 是 否 可 用 ;如 果 是 ,他 们 
将 下 载 软件 并 安装 ,无 须 用 户 干预 。 在 一 些 情况 下 ,设备 可 以 在 一 天 的 特定 时 
[is] ,例如 深夜 或 存在 一 段 时 间 内 没有 与 设备 有 关 的 活动 时 执行 更 新 ,以 使 用 户 的 
中 断 达 到 最 小 。 不 幸 的 是 ,自动 化 软件 更 新 也 存在 一 些 挑战 ,如 对 存在 数据 上 限 
(如 果 适 用 ) 的 用 户 来 说 ,更 新 软件 时 很 可 能 引入 新 的 缺陷 。 

软件 更 新 的 常见 方法 是 用 户 发 起 或 用 户 批 准 , 这 两 种 方法 都 会 导致 相对 较 
低 的 更 新 率 。 因 此 ,拥有 和 维护 (COAM) 数 百 万 消费 者 的 家 庭 网 关 很 可 能 永远 
不 会 接受 软件 更 新 。 例 如 ,NetGear 型 号 的 一 些 家 庭 网 关 附 带 一 个 软件 缺陷 , 导 
致 这 些 设备 对 ISP DNS 服务 器 执行 洪 泛 攻击 ,以 每 秒 成 千 上 万 的 DNS 请 求 ,每 
天 请 求 数 增加 多 达 数 百 万 ,或 大 量 的 NTP 到 NTP 服务 器 查询 。 虽 然 这 个 特定 
的 软件 缺陷 已 经 报道 了 许多 年 ,但 网 络 运营 商 仍 然 发 现 这 些 设备 在 运行 对 网 络 
有 不 良 影 响 的 较 旧 的 软件 ,因为 这 些 软件 的 缺陷 而 无 意 中 会 执行 DDoS 攻击 。 

(2) 软件 更 新 解决 的 不 仅仅 是 缺陷 

同样 值得 牢记 的 是 ,软件 更 新 不 仅仅 用 于 修复 安全 或 隐私 的 缺陷 。 它 们 还 
可 以 用 于 引入 核心 新 功能 。 而 且 这 些 新 功能 一 般 与 性 能 和 安全 性 相关 ,例如 与 
IPv6 寻 址 .DNS 安全 扩展 (DNSSEC) 验 证 和 TCP 缓冲 器 控制 (例如 , “缓冲 脱 
胀 ”) 或 活动 队列 管理 (例如 ,AQM)。 

(3) 消费 者 不 太 可 能 更 新 物 联网 设备 软件 

少数 终端 用 户 会 一 贯 地 更 新 符合 他 们 的 设备 软件 ,除非 他 们 被 设备 的 图 形 
用 户 界面 (GUI) 不 断 强 制 地 提醒 这 样 做 (例如 ,PC 上 的 常规 弹出 窗口 ,移动 应 用 
商店 中 的 计数 器 ,弹跳 应 用 程序 图 标 等 ) ,这 在 人 机 交互 学 科 中 能 很 好 地 理解 。 
其 他 近期 的 工作 表明 ,用 户 因 各 种 原因 放弃 在 固定 和 移动 设备 上 执行 软件 更 新 ， 
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其 原因 包括 工作 周期 的 中 断 和 与 软件 更 新 相关 的 数据 成 本 。 

尽管 用 户 不 对 软件 进行 更 新 能 保障 对 IoT 设备 进行 深入 研究 ,但 是 这 种 情 
况 可 能 比 常 规 或 非 ToT 设备 更 糟糕 。 除 了 用 户 对 于 软件 更 新 存在 风险 的 行为 ， 
许多 IoT 设备 缺乏 GUI 或 其 他 指示 器 ,来 表明 新 软件 可 用 或 必要 。 此 外 ,设备 
的 数量 与 种 类 的 增加 使 得 跟踪 软件 更 新 对 典型 的 互联 网 消费 者 是 难以 完成 的 任 
务 。 因 此 ,对 于 物 联 网 设备 ,最 好 假设 大 多 数 终端 用 户 不 会 自己 采取 行动 来 更 新 
设备 上 的 软件 。 


6. 设备 更 换 可 能 是 软件 更 新 的 替代 方法 


一 些 情况 下 ,完全 替换 设备 可 能 是 软件 更 新 的 替代 方法 。 一 些 IoT 设备 可 
如 此 便宜 ,以 至 于 更 新 软件 可 能 是 不 切实 际 或 不 具 成 本 效益 的 。 例 如 ,成 本 为 
0. 99 无 的 充电 适配器 可 能 具有 一 些 受 限 的 ToT 功能 。 以 该 设备 的 单位 成 本 来 
说 ,更 新 设备 可 能 不 经 济 ; 相 反 , 可 能 更 有 意义 的 是 回收 设备 并 用 新 设备 来 替换 。 
然而 ,这 种 方法 需要 以 下 元 素来 提供 软件 更 新 的 安全 替代 :一 种 方法 来 识别 设备 
中 一 个 或 多 个 累积 的 漏洞 何 时 损害 设备 ,及 它 应 该 被 替换 的 时 间 点 ;一 种 方法 是 
在 设备 被 确定 为 易 受 攻击 时 禁用 与 设备 的 通信 。 潜 在 方法 的 示例 包括 从 网 络 远 
程 禁 用 设备 或 阻止 从 家 庭 网 关 对 设备 的 访问 ;一 种 方法 是 通知 用 户 设 备 间 的 通 
信 已 经 禁用 。 

即使 在 这 些 情况 下 ,用 户 仍 可 能 不 愿 停止 使 用 设备 ,只 要 它 部 分 地 继续 起 作 
JH. 一旦 设备 的 通信 和 能力 禁用 , 则 继续 使 用 不 应 存在 安全 漏洞 。 


B.3.6 ”家庭 网 络 技术 的 可 能 作用 


设备 制造 商 对 他 们 的 设备 使 用 默认 保护 构成 了 提高 物 联网 安全 性 和 隐私 的 
重要 步骤 ,但 这 还 是 远 远 不 够 的 。 即 使 未 被 恶意 软件 感染 的 IoT 设备 仍 可 能 窃 
听 其 他 家 庭 网 络 数据 包 ( 例 如 ,通过 制造 商 或 第 三 方 安装 软件 ), 从 而 危及 用 户 隐 
私 。 家 庭 通常 被 认为 是 存在 防火 墙 或 隔离 的 环境 ,并 且 多 个 不 相关 的 ToT 设备 
通常 在 该 防火 墙 内 具有 不 受 限制 的 访问 。 此 外 ,家 庭 网 络 中 的 单个 不 安全 或 受 
损 设备 可 能 成 为 攻击 的 跳板 ,所 以 “深度 防御 ”至 关 重 要 。 

最 近 的 研究 和 报告 表明 ,不 久 的 将 来 ,家 庭 网 络 设备 可 能 需要 有 一 些 角色 来 
控制 和 管理 物 联网 设备 之 间 以 及 与 互联 网 之 间 通 信 的 数据 包 。 这 种 网 络 设备 的 
能 力 包括 : 

(1) 自动 发 现 家 庭 网 络 连 接 的 设备 及 其 清单 。 

(2) 向 用 户 呈 现 有 以 下 信息 : 设备 正在 向 互联 网 的 哪些 部 分 发 送 什 么 数 
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据 ; 以 及 回 设备 正在 与 家 中 的 什么 设备 进行 通信 ,如 过 去 智能 手机 和 浏览 器 所 
做 的 。 

(3) 向 用 户 提供 简单 方法 以 防止 或 禁止 单个 设备 与 家 庭 网 络 上 的 其 他 IoT 
设备 通信 或 与 云 中 的 存储 服务 器 通信 但 不 损害 设备 的 主要 功能 。 最 近 的 一 项 研 
究 使 用 两 个 物 联 网 设备 示例 ,一 个 是 飞利浦 Hue 灯泡 , 另 一 个 是 Nest 恒温 器 。 

提高 网 络 安全 性 和 隐私 性 的 技术 最 终 只 采取 多 种 形式 中 的 一 种 。 与 ISP 提 
供 的 设备 分 离 ( 例 如 ,IoT 集线器 或 单独 的 家 庭 路 由 器 ) 或 与 ISP 提供 的 设备 集 
成 的 家 庭 网 关 可 以 在 网 络 内 执行 测量 ,以 帮助 用 户 理解 家 庭 中 的 IoT 设备 以 及 
这 些 设备 之 间 的 复杂 数据 流 乃 至 家 庭 外 的 第 三 方 网 站 和 服务 。 某 种 意义 上 说 ， 
监视 家 庭 中 的 设备 数据 包 可 能 最 终 有 助 于 提高 这 些 IoT 设备 行为 的 透明 度 。 

通过 集线器 监视 和 管理 To T 数据 包 和 来 自 端 到 端的 安全 性 之 间 存 在 的 一 些 
冲突 数据 包 。 值 得 注意 的 是 ,即使 发 送 和 接收 这 些 设备 的 网 络 数据 包 是 端 到 端 
加 密 的 , 某 些 特征 (例如 任何 特定 设备 正在 与 之 通信 的 其 他 设备 和 位 置 ) 仍 可 从 
该 流量 中 明显 看 出 。 标 准 化 以 允许 使 用 这 种 IoT 集线器 的 协作 式 业 务 分 类 和 保 
护 将 允许 设备 是 生态 系统 的 被 识别 和 认证 的 部 分 ,使 得 管理 具有 在 选择 加 入 的 
基础 上 对 业务 发 起 者 可 用 的 细 粒 度 控制 。 

除了 简单 地 帮助 可 视 化 这 些 业务 流 外 ,这 样 的 网 关 可 以 实施 合理 的 默认 设 
置 以 改进 连接 的 IoT 设备 的 安全 性 和 隐私 。 例 如 ,最 近 的 研究 表明 ,家庭 网 络 防 
火 墙 可 以 防止 某 些 设备 将 日 志和 其 他 信息 泄露 给 第 三 方 云 提供 商 , 且 不 会 削弱 
设备 本 身 的 功能 。 识 别 可 以 安装 在 网 关 处 的 合理 的 默认 防火 墙 设置 ,来 改善 安 
全 性 和 隐私 是 一 个 开放 的 问题 。 假 定 这 样 的 家 庭 网 络 防火 墙 可 能 引起 “隐私 军 
备 竞 赛 ”例如 ,可 以 想象 设备 制造 商 不 向 阻止 设备 的 跟踪 能 力 的 用 户 提 供 安全 
更 新 ) , 则 制造 商 与 供应 商 的 设备 认证 一 方面 可 以 确保 消费 者 保持 对 这 些 设备 彼 
此 之 间 及 与 第 三 方 站 点 和 服务 进行 通信 的 知悉 选择 。 

最 后 , 物 联网 设备 之 间 的 交互 可 能 需要 更 复杂 的 中 介 。 例 如 ,虽然 用 户 通常 
不 希望 某 些 设备 彼此 通信 或 交互 ,但 特定 情况 下 ,是 可 存在 允许 用 于 特定 任务 的 
设备 之 间 的 通信 或 交互 的 。 作 为 一 个 可 能 的 示例 ,应 考虑 一 些 用 户 可 能 想 在 家 
中 观看 电影 时 自动 地 使 灯 变 暗 等 情况 。 在 这 种 情况 下 ,应 用 可 能 涉及 流 设备 ( 例 
如 ,Roku 或 Apple TV) 与 智能 插头 和 开关 (例如 ,Belkin WeMo 开关 ) 之 间 的 媒 
介 通 信 。 另 一 方面 ,一 般 来 说 ,用 户 可 能 不 希望 这 些 设备 的 交互 ,甚至 观察 彼此 
的 业务 。 因 此 ,与 适当 用 户 接口 耦合 的 网 关 可 最 终 为 这 种 类 型 的 复杂 介 导 的 交 
互 提供 更 好 的 机 会 。 
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最 近 的 报告 表明 ,许多 这 些 目标 很 可 能 达到 。 例 如 ,研究 人 员 使 用 家 庭 网 络 
防火 墙 来 防止 Nest 恒温 器 将 其 状态 日 志 发 送 到 云 , 而 不 会 损害 设备 本 身 。 然 
而 ,由 于 典型 用 户 不 太 可 能 配置 防火 墙 规则 ,所 以 这 些 防火 墙 功能 必须 更 可 用 ， 
并 且 如 果 可 能 的 话 ,在 被 认为 可 行 之 前 必须 是 自动 的 。 


B.3.7 建议 


报告 的 这 一 部 分 表达 了 BITAG 技术 工作 组 (TWG) 的 建议 。 尽 管 本 报告 前 
面 的 部 分 已 经 讨论 了 长 期 前 脆性 解决 方案 的 潜力 (例如 ,家 庭 网 络 技术 在 减轻 设 
备 不 安全 方面 的 作用 ) ,本 节 重 点 介绍 BITAG 认为 可 以 使 用 现 有 技术 在 短期 内 
采取 行动 的 建议 。 

1. IoT 设备 应 使 用 最 好 的 最 新 软件 实践 


(1) 物 联 网 设备 应 提供 合理 的 最 新 软件 

BITAG 建议 物 联 网 设备 应 提供 给 客户 或 零售 网 点 最 合理 的 最 新 软件 ,这 些 
软件 不 包含 严重 .已 知 的 漏洞 。 然 而 ,由 于 软件 缺陷 是 “生活 的 事实 ,并 且 当 设 
备 在 货架 上 时 发 现 新 的 漏洞 并 不 罕见 。 所 以 物 联 网 设备 具有 自动 安全 的 软件 更 
新 ( 见 下 一 个 项 ) 机 制 是 至 关 重 要 。 

(2) IoT 设备 应 该 具有 自动 安全 软件 更 新 的 机 制 

应 该 尽量 减少 软件 的 缺陷 ,但 是 ,如 上 所 述 ,它们 是 不 可 避免 的 。 因 此 , 物 联 
网 设备 必须 具有 自动 安全 的 软件 更 新 机 制 。 

BITAG 建议 物 联网 设备 制造 商 或 物 联网 服务 提供 商 在 设计 其 设备 和 系统 
时 ,应 假设 可 随时 发 现 新 的 错误 和 漏洞 。 他 们 应 该 设计 系统 和 流程 来 确保 物 联 
网 设备 软件 的 自动 更 新 ,而 不 需 依 赖 任 何 类 型 的 用 户 操作 ,甚至 用 户 选择 。 

(3) ToT 设备 应 默认 使 用 强 认 证 

BITAG 建议 默认 情况 下 保护 IoT 设备 (例如 密码 保护 ) ,不 使 用 常见 或 容易 
猪 到 的 用 户 名 和 密码 (例如 “admin”password”)。 同 时 应 保护 用 于 远程 访问 的 
认证 ,因为 其 可 能 允许 物理 上 不 在 家 中 的 其 他 人 监视 或 控制 家 庭 内 的 情况 ( 例 
如 ,改变 气候 控制 ,监视 用 户 活动 )。 每 个 设备 的 身份 认证 凭据 必须 是 唯一 的 。 

满足 这 些 标准 的 默认 认证 方法 包括 :每 个 设备 使 用 固定 的 默认 密码 ,但 要 求 
用 户 在 安装 过 程 中 ( 即 在 设备 运行 之 前 ) 改 变 它 ;每 个 设备 的 每 个 单元 使 用 唯一 
密码 ,并 将 对 应 的 密码 附加 到 设备 的 标签 上 。 

(4) ToT 设备 配置 应 进行 测试 和 加 固 

一 些 IoT 设备 允许 用 户 定 制 设备 的 行为 。BITAG 建议 制造 商 测试 每 个 设 


附录 已 ”美国 关键 基础 设施 安全 之 物 联网 安全 调研 ” 2 有 


备 的 安全 性 和 一 系列 可 能 的 配置 ,而 不 是 简单 地 使 用 默认 配置 。 设 备 的 接口 应 
主动 阻止 用 户 使 用 不 太 安全 的 方式 配置 设备 。 


2. IoT 设备 应 遵循 安全 和 加 密 的 最 佳 实践 


BITAG 建议 物 联 网 设备 制造 商 使 用 基于 传输 层 安全 (TLS) 或 轻 量 级 加 密 
(LWC) 保 护 的 通信 。 一 些 设备 可 以 实时 地 执行 对 称 加 密 。 此 外 ,提供 轻 量 级 加 
密 (LWC) 的 额外 选项 ,用 于 保护 资源 受 限 设备 的 通信 数据 包 。 如 果 设 备 依赖 于 
公 钥 基础 设施 (PKD , 则 授权 实体 必须 能 够 在 受到 攻击 时 及 时 撤销 证 书 , 如 Web 
浏览 器 和 PC 操作 系统 所 做 的 。 云 服务 可 以 通过 证 书 透明 度 来 加 强 颁发 的 证 书 
完整 性 。 最 后 ,制造 商 应 注意 避免 使 用 弱 的 加 密 方法 .协议 和 密 钥 大 小 。 

依赖 云 托 管 的 供应 商 应 鼓励 物 联 网 设备 按照 最 佳 实践 原则 配置 他 们 的 服务 
器 ,如 将 TLS 实施 配置 为 仅 接受 最 新 TLS 版 本 。 

(1) 默认 通信 加 密 配 置 (命令 和 控制 ) 

使 用 未 认证 或 明文 通信 来 管理 设备 会 带 来 重大 的 安全 风险 。BITAG 建议 
用 于 设备 管理 的 所 有 通信 都 需 在 经 过 认证 且 安 全 的 通道 上 进行 。 

(2) 3E Fl ToT 控制 器 的 安全 通信 

如 果 物 联网 设备 使 用 集中 式 控制 器 来 与 网 络 中 的 云 服 务 通信 , 则 BITAG 
建议 要 在 两 个 方向 上 确保 通信 信道 的 安全 。 

C3). 加 密 本 地 存储 的 敏感 数据 

BITAG 建议 任何 敏感 或 机 密 数据 (例如 , 私 钥 、 预 共享 密 钥 .用户 或 设施 信 
息 ) 需 加 密 存储 。 

CA) 通信 、 软 件 更 改 和 数据 请 求 的 认证 

BITAG 建议 IoT 设备 需 对 与 其 通信 的 端点 进行 身份 认证 。 认 证 需要 验证 
端点 的 身份 ,这 又 涉及 认证 端点 正在 使 用 的 证 书 应 是 由 设备 信任 并 且 尚 未 撤销 
的 证 书 颁发 机 构 签名 的 。 

(5) 每 个 设备 使 用 唯一 证 书 

BITAG 建议 每 个 设备 具有 唯一 的 证 书 。 如 果 设 备 使 用 公 钥 加 密 技术 ( 例 
如 ,签署 消息 .交换 会 话 密 钥 或 认证 自身 ) , 则 每 个 设备 应 当 具 有 唯一 的 可 验证 证 
书 。 如 果 设 备 使 用 对 称 密 钥 加 密 ,端点 不 应 与 其 他 方 共享 对 称 密 钥 。 

(6) 使 用 可 以 更 新 的 证 书 

BITAG 建议 设备 制造 商 应 支持 一 种 安全 机 制 ,通过 该 机 制 可 以 更 新 设备 使 
用 的 证 书 。 然 而 ,安全 地 实施 该 推荐 需要 特别 注意 ,因为 不 正确 的 实现 本 身 可 能 
引入 新 的 攻击 力量 。 
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(7) 关闭 不 必要 的 端口 并 禁用 不 必要 的 服务 

BITAG 建议 设备 制造 商 关 闭 不 必要 的 端口 ,例如 telnet, 因 为 不 必要 的 端 
口 可 能 是 不 安全 的 ,否则 可 能 被 损坏 。 设 备 应 关闭 或 禁用 不 使 用 的 管理 接口 和 
功能 。 设 备 也 不 应 提供 设备 未 使 用 的 驱动 程序 。 

(8) 使 用 积极 维护 和 支持 的 库 

本 报告 中 的 很 多 建议 需要 通过 安全 的 通信 渠道 执行 。 然 而 ,本 地 实现 的 加 
密 协 议和 安全 信道 本 身 可 能 会 引入 漏洞 。BITAG 建议 ,在 实施 本 报告 中 的 建议 
时 ,设备 制造 商 应 尽 可 能 使 用 积极 支持 和 维护 的 库 和 框架 。 


3. loT 设备 在 通信 中 应 是 受 限 而 不 是 允许 的 


BITAG 建议 物 联网 设备 仅 与 可 信 端 点 通信 。 如 果 可 能 ,默认 情况 下 不 应 通 
过 入 站 连接 访问 设备 。IoT 设备 不 应 该 仅 依靠 网 络 防 火 墙 来 限制 通信 ,因为 家 
庭 内 的 设备 之 间 的 一 些 通 信 可 能 不 需 穿 过 防火 墙 。 

注意 ,BITAG 建议 限制 物 联 网 设备 通信 的 配置 不 应 以 开放 生态 系统 为 代 
价 。 用 户 应 该 能 够 配置 任意 IoT 设备 之 间 的 通信 ,并 且 应 该 允许 彼此 受信 的 设 
备 进行 通信 。 AAT AEA 给 定 设备 期 望 和 与 之 通信 设备 集合 的 受 
限 信 任 列表 。 这 些 设备 间 通 信 应 允许 在 有 可 信 机 制 且 安全 的 信道 上 进行 。 


4. IOT 设备 在 网 络 连 接 中 断 时 应 继续 工作 


BITAG 建议 物 联 网 设备 在 未 联网 时 , 仍 应 能 够 执行 其 主要 功能 (例如 , 灯 开 
关 或 恒温 器 应 继续 与 手动 控制 一 起 工作 )。 这 是 因为 互联 网 连接 可 能 因 偶 然 的 
误 配 置 或 受 恶意 攻击 (例如 ,拒绝 服务 攻击 ) 而 中 断 ;设备 在 面 对 这 些 类 型 的 连接 
中 断 时 应 在 功能 上 是 鲁 棒 的 。 

对 用 户 安全 有 影响 的 IoT 设备 应 在 断 开 连接 的 操作 下 继续 工作 ,以 保护 消 
费 者 的 安全 。 在 这 些 情 况 下 ,设备 或 后 端 系统 应 通知 用 户 故 障 。 

在 可 能 的 情况 下 ,设备 制造 商 应 该 让 用 户 很 容易 地 禁用 或 阻止 (例如 ,使 用 
防火 墙 ) 各 种 网 络 的 数据 包 , 且 不 会 妨碍 设备 的 主要 功能 。 


5. 设备 在 云端 失败 时 应 继续 工作 


在 云 后 台 的 连接 中 断 或 云 服 务 发 生 故 障 时 ,那些 依赖 或 使 用 云 后 台 运行 的 
服务 应 该 继续 提供 ,即便 是 使 处 于 降级 或 部 分 功能 状态 。 例 如 ,可 通过 云 服务 来 
改变 恒温 器 的 设置 ,使 其 在 最 坏 的 情况 下 仍 能 继续 使 用 默认 已 知 的 设置 来 运行 。 
即便 在 网 络 连接 失败 时 ,也 应 该 可 以 从 家 里 访问 云 托管 的 家 庭 安 全 摄像 机 。 
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6. IoT 设备 应 支持 寻 址 和 命名 的 最 佳 实 践 


许多 物 联网 设备 在 安装 之 后 可 能 仍 需 部 署 多 年 。 因 此 , 物 联网 设备 应 支持 
用 于 IP 寻 址 和 使 用 域名 服务 系统 CDNS) 的 相对 最 近 的 、 最 新 的 最 佳 实践 。 支 持 
用 于 寻 址 和 命名 的 最 新 协议 将 确保 这 些 设备 在 未 来 几 年 内 保持 正常 运行 ,性 能 
良好 ,并 且 能 够 支持 基于 DNS 的 重要 安全 功能 。 

(1) IPv6 

BITAG 建议 物 联网 设备 支持 最 新 版 本 的 互联 网 协议 IPv6 。 

(2) DNSSEC 

BITAG 建议 , 当 使 用 域名 时 ,IoT 设备 应 支持 验证 或 使 用 DNS 安全 扩展 功 
能 (DNSSEC)。 例 如 ,如 果 IoT 设备 使 用 example. com 域 与 云 服 务 进行 通信 , 则 
云 提供 商 应 该 能 够 对 此 域名 进行 签名 ,IoT oe 
游 DNS 解析 器 已 经 这 样 做 ,并 在 DNS 响应 中 指出 这 


7. IOT 设备 应 提供 易于 查找 和 理解 的 隐私 政策 


BITAG 建议 物 联 网 设备 附带 隐私 政策 ,但 该 隐私 政策 对 于 典型 用 户 必 须 易 
于 查找 和 理解 。 


8. 揭示 远程 降低 IoT 设备 功能 的 权限 


BITAG 建议 ,如 果 IoT 设备 的 功能 可 以 由 第 三 方 ( 例 如 制造 商 或 IoT 服务 
提供 商 ) 远 程 降低 , 则 应 在 购买 时 向 用 户 明确 说 明 这 种 可 能 性 。 


9. IoT 设备 行业 应 考虑 网 络 安 全 行业 计划 


BITAG 建议 物 联网 设备 行业 或 相关 的 消费 电子 集团 应 考虑 创建 一 个 行业 
支持 的 程序 ,这 种 程序 可 以 在 物 联 网 零售 包装 上 携带 某 种 "安全 物 联 网 设备 ”的 
标志 或 符号 。 这 样 的 程序 可 以 类 似 于 Wi-Fi 联盟 或 其 他 符合 各 种 标准 和 (或 ) 最 
佳 实践 的 方式 的 验证 设备 。 

业界 支持 的 一 套 最 佳 实践 似乎 是 在 物 联网 创新 与 网 络 安全 流动 性 相关 的 安 
全 挑战 之 间 取 得 平衡 的 最 务实 的 手段 , 它 避 免 了 认证 过 程 中 可 能 出 现 的 核对 


10. IoT 供应 链 应 在 解决 IoT 安全 和 隐私 问题 中 发 挥 作用 


在 今天 的 工厂 到 零售 供应 链 中 ,随时 间 推 移 ,通常 很 难 定义 每 个 参与 方 所 发 
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挥 的 作用 。 故 在 此 简称 为 “ 物 联网 供应 链 ”。 物 联网 设备 和 其 他 终端 设备 的 用 户 
依赖 物 联网 供应 链 来 保护 他 们 的 安全 和 隐私 , 物 联 网 供应 链 的 一 些 或 所 有 部 分 
在 产品 的 整 a a 
议 物 联 网 供应 链 应 采取 以 下 步 又: 

igen ame ier Ere UIN eee 
起 销售 的 情况 下 。 

(2) 设备 应 该 具有 物 联网 设备 的 重 置 机制 , 当 消费 者 返回 或 转 售 设备 时 , 清 
除 所 有 配置 以 供 使 用 。 设 备 制 造 商 还 应 该 提供 一 种 机 制 来 删除 或 重 置 相 应 设备 
在 云 中 存储 的 任何 数据 。 

(3) 制造 商 应 提供 错误 报告 系统 ,来 明确 定义 缺陷 提交 机 制 和 响应 策略 。 

(4) 制造 商 应 构建 安全 的 软件 供应 链 ,以 防止 在 制造 过 程 中 引入 恶意 软件 ， 
供应 商 和 制造 商 应 采取 适当 措施 ,确保 其 软件 供应 链 安全 。 

(5) 制造 商 应 支持 物 联 网 设备 在 整个 过 程 中 其 生命 周期 安全 可 靠 , 从 设计 
到 设备 退役 的 时 间 ,包括 计划 为 其 提供 持续 支持 的 时 间 段 的 透明 度 , 以 及 消费 者 
应 该 从 设备 的 寿命 结束 时 的 功能 。 

(6) 制造 商 应 为 消费 者 提供 明确 的 方法 ,以 确定 他 们 可 以 得 到 那些 支持 ,以 
及 联系 消费 者 以 告知 有 关 软 件 漏 洞 或 其 他 问题 的 信息 的 人 。 

(7) 制造 商 应 报告 发 现 和 修复 软件 漏洞 ,这 些 漏洞 构成 对 消费 者 安全 或 隐 
私 的 威胁 。 

(8) 制造 商 应 提供 一 个 脆弱 性 报告 流程 ,其 中 包含 一 个 定义 明确 .易于 定位 
和 安全 的 漏洞 报告 清单 ,以 及 一 个 记录 的 响应 策略 。 制 造 商 应 考虑 遵守 一 个 处 
理 漏 洞 报告 的 标准 ,如 ISO 30111. 


B.3.8 其 他 小 组 


虽然 BITAG 在 这 个 问题 上 有 一 个 独特 的 见解 ,值得 注意 的 是 几 个 其 他 组 
织 也 有 研究 集中 在 物 联网 安全 和 隐私 工作 的 各 个 方面 。 这 些 团 体 包 括 : 

。 智能 对 象 联盟 协议 (IPSO) 

* 电气 和 电子 工程 师 协会 (IEEE) 

。 国家 标准 与 技术 研究 所 (NIST) 

。 互联 网 工程 任务 组 

。 LWIG( 轻 型 实施 指南 ) 

* 6Lo( 资 源 约束 节点 的 网 络 上 的 IPv6) 

* 6TISCH(IEEE 802. 15. 4e 的 TSCH 模式 上 的 IPv6) 
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ROLL( 在 低 功率 和 有 损 网 络 上 路 由 ) 

CoRE( 约 束 RESTful 环境 ) 

DICE( 约 束 环境 中 的 DTLS) 

ACE( 约 束 环境 的 认证 和 授权 ) 

COSE(CBOR 对 象 签名 和 加 密 ) 

* 6lowpan IPv6 over 低 功率 WPAN( 关 闭 ) 

GSMA: 互联 生活 

IRTF: 互联 网 研究 工作 组 

* T2TRG: Thing-to-Thing 研究 小 组 

W3C; 全 球 Web 联盟 

* WoT: 网 络 兴趣 组 

美国 联邦 贸易 委员 会 (FTC) 

美国 商务 部 ,国家 电信 和 信息 给 药 (NTIA) 

互联 网 治理 论坛 (IGF) 

在 线 信任 联盟 

国际 标准 化 组 织 联合 技术 委员 会 1COISO/TEC JTC1): 成 立 了 两 个 关于 

管理 和 物 联网 的 特别 工作 组 ;一 个 由 ANSI 管理 。 

* 国际 电工 委员 会 : 虽然 IEC 不 仅 限 于 物 联 网 设备 (并 且 工 作 在 所 有 电 
气 / 电 子 技术 ) , 它 已 经 做 了 几 个 可 能 有 标准 的 研究 论文 。 

国际 信息 技术 标准 委员 会 (INCITS): 由 ANSI 认可 ,“ 作 为 全 球 努 力 的 

中 央 美 国 技 术 咨 询 小 组 ”。 

TRUSTe 多 方 利益 相关 者 物 联 网 隐私 技术 工作 组 : 旨 在 制定 技术 标准 ， 

帮助 公司 开发 解决 方案 ,保护 IoT 中 的 消费 者 隐私 。 

电气 和 电子 工程 师 协 会 (IEEE)P2413: 关于 物 联网 建筑 框架 标准 的 

IEEE 项 目 。 

无 线 IoT 论坛 : “不 是 一 个 标准 组 织 ,而 是 旨 在 向 缺乏 标准 (例如 长 距离 

无 线 连接 ) 的 标准 机 构 提 供 要 求 ,并 在 存在 竞争 标准 (如 家 庭 设 备 发 

3D", 

x* 应 用 程序 组 : 审核 标准 API 的 工作 组 

* 连接 组 : 评估 无 线 电 接 人 的 工作 组 

* 监管 小 组 : 协调 全 球 许可 证 蔬 免 条 例 和 许可 频谱 可 用 性 的 工作 组 

开放 互 连 基础 (以 前 称 为 开放 互 连 联盟 ): 由 英特尔 ,思科 和 三 星 创建 的 

组 织 ,为 IoT 创建 开放 的 互 操作 规范 。 也 获得 UPnP 论坛 。 


* 


* 


k 


* 
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小 结 


对 象 管理 组 (OMG): 一 个 国际 非 营利 技术 标准 联盟 ,负责 工业 物 联 网 的 

主要 工作 。 

* 工业 互联 网 联盟 :“…… 是 开放 的 成 员 ,国际 非 营利 性 联盟 …… 设置 
工业 互联 网 的 架构 框架 和 方向 .致力 于 加 速 采 用 专用 于 物 联网 市 场 
的 无 线 广域网 技术 。 由 思科 成 立 , 包 括 埃 森 哲 、 阿 尔 凯 萨 、.BT 泰 伦 萨 
和 WSN. 

one M2M: 开发 技术 规范 ,满足 对 可 以 嵌入 各 种 硬件 和 软件 的 通用 

M2M 服务 层 的 需要 

国际 自动 化 协会 (ISA) :“ 非 营利 专业 协会 ,为 那些 应 用 工程 和 技术 改善 

现代 自动 化 和 控制 系统 的 管理 ,安全 和 网 络 安全 的 人 制定 标准 ”。 对 物 

联网 做 了 一 些 研究 ,虽然 没有 工作 组 的 说 明 。 

OASIS:“ 非 营利 性 联盟 ,推动 全 球 信息 社会 的 开放 标准 的 开发 ,融合 和 

采用 ”。 

* OASIS 高 级 消息 队列 协议 (AMQP)TC: 定义 用 于 处 理 业 务 消息 传递 
的 无 处 不 在 、 安 全、 可 靠 和 开放 的 互联 网 协议 。 

* OASIS 消息 队列 遥测 传输 CMQTT)TC: 提供 适合 于 在 M2M/IoT 上 
下 文中 的 通信 的 轻 量 级 发 布 /订阅 可 靠 消 息 传输 协议 ,其 中 需要 小 的 
代码 覆盖 区 和 /或 网 络 带宽 是 溢价 的 。 

* OASIS 开放 式 建筑 信息 交换 (oBIX)TC: 使 建筑 中 的 机 械 和 电气 控 
制 系统 与 企业 应 用 程序 进行 通信 。 

Hypercat: 一 个 为 工业 和 城市 推动 安全 和 可 互 操作 的 物 联网 的 联盟 和 

标准 。 

AllSeen 联盟 : 创建 AllJoyn, 这 是 一 个 “协作 ,开放 的 生态 系统 ”。 

线程 组 : 创建 Thread 协议 ,这 是 一 个 免 版 税 的 物 联网 网 络 协议 。 提 供 

产品 认证 。 


本 附录 以 物 联 网 安全 的 视角 ,介绍 了 美国 近年 来 在 物 联网 安全 (尤其 是 工业 
物 联网 安全 ) 领 域 所 制定 的 安全 战略 和 建议 报告 ,介绍 了 物 联网 安全 战略 安全 保 
障 原则 , 物 联 网 设备 与 系统 安全 防护 注意 事项 ,及 物 联 网 安全 和 隐私 保护 建 
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